|
Log-Analyse und Auswertung: explorer.exe startet nicht mehr nach Entfernen von MalwareWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.01.2010, 21:45 | #1 |
| explorer.exe startet nicht mehr nach Entfernen von Malware Hallo, bin hier gerade mit meinem Latein am Ende. Vorgeschichte: Hatte mir Malware aus irgendeinem Blog eingefangen und in einem schwachen Moment bei Sygate auf Ja geklickt, als sich die verbinden und nachladen wollte. Danach liefen erstmal die ganzen Browser nicht mehr. Dann mal mit avast und Malwarebytes Anti malware ziemlich wahllos alles gelöscht was verdächtig war. Danach mit der Windows CD versucht die kaputten .dlls zu reparieren. Der Rechner läuft jetzt wieder soweit anstandslos. Das Log von HijackThis sieht für mich auch relativ sauber aus, bis auf die sams.exe die ich nicht so recht zu ordnen kann. Weder Avast noch anti Malwarebytes finden noch irgendwelche verdächtigen Prozesse. Neu aufsetzen möchte ich den Rechner wenn möglich nicht. Stand der Dinge: Explorer.exe startet nicht, und alle Tipps aus der Google suche oder von hier (Falsche registry einträge, oder virus mit gleichen Namen) haben mein Problem bisher nicht getroffen. Hier mal das Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 21:31:59, on 07.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Alwil Software\Avast4\setup\avast.setup C:\WINDOWS\explorer.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Wisterer HX\WistererHX.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Explorer] "C:\Windows\explorer.exe" O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\WistererHX.exe" /minimize O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O15 - Trusted Zone: http://asia.msi.com.tw O15 - Trusted Zone: http://global.msi.com.tw O15 - Trusted Zone: http://www.msi.com.tw O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206047209018 O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing) O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing) O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 6994 bytes |
10.01.2010, 13:30 | #2 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Hallo und
__________________Zitat:
Zitat:
Mach danach bitte Logfiles mit RSIT und poste sie hier.
__________________ |
11.01.2010, 21:40 | #3 | |
| explorer.exe startet nicht mehr nach Entfernen von MalwareZitat:
Anbei die Log-files Vielen Dank schonmal für deine Hilfe im voraus. Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by Leviathan at 2010-01-11 21:30:07 Microsoft Windows XP Professional Service Pack 3 System drive C: has 13 GB (27%) free of 50 GB Total RAM: 1982 MB (70% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:30:26, on 11.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Wisterer HX\WistererHX.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Leviathan\Eigene Dateien\Downloads\RSIT.exe C:\Programme\trend micro\Leviathan.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\WistererHX.exe" /minimize O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O15 - Trusted Zone: http://asia.msi.com.tw O15 - Trusted Zone: http://global.msi.com.tw O15 - Trusted Zone: http://www.msi.com.tw O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206047209018 O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing) O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 6630 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003Core.job C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003UA.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}] FDMIECookiesBHO Class - C:\Programme\Free Download Manager\iefdm2.dll [2007-11-26 94208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2009-06-01 962808] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SmcService"=C:\PROGRA~1\Sygate\SPF\smc.exe [2005-09-27 2635472] "Cm106Sound"=RunDll32 cm106.cpl,CMICtrlWnd [] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-01-10 385024] "SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2006-11-17 577536] "avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-11-25 81000] ""= [] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-10-11 149280] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "WistererHX"=C:\Programme\Wisterer HX\WistererHX.exe [2008-01-05 2646016] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "ICQ"=C:\Programme\ICQ6\ICQ.exe silent [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2008-01-10 122880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-04-10 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 "NoDrives"=0 "NoViewOnDrive"=0 "NoLogoff"=0 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" "C:\Programme\Skype\Plugin Manager\skypePM.exe"="C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" ======List of files/folders created in the last 1 months====== 2010-01-11 21:30:07 ----D---- C:\rsit 2010-01-11 21:30:07 ----D---- C:\Programme\trend micro 2010-01-06 10:46:51 ----D---- C:\Programme\ICQ6Toolbar 2010-01-06 10:46:35 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ 2010-01-06 09:39:15 ----D---- C:\Programme\ICQ6.5 2010-01-05 16:19:20 ----D---- C:\WINDOWS\system32\NtmsData 2010-01-05 15:55:02 ----D---- C:\WINDOWS\system32\appmgmt 2010-01-05 15:54:59 ----SHD---- C:\Config.Msi 2010-01-05 15:36:59 ----D---- C:\Programme\TrendMicro 2010-01-05 11:55:38 ----D---- C:\Programme\Winamp Detect 2010-01-04 23:57:37 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\HpUpdate 2010-01-04 23:57:31 ----D---- C:\WINDOWS\Hewlett-Packard ======List of files/folders modified in the last 1 months====== 2010-01-11 21:30:07 ----RD---- C:\Programme 2010-01-11 21:30:05 ----D---- C:\WINDOWS\Prefetch 2010-01-11 21:29:15 ----D---- C:\WINDOWS\Temp 2010-01-11 15:34:48 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-01-11 06:37:06 ----D---- C:\Programme\Wisterer HX 2010-01-06 18:26:55 ----D---- C:\Programme\Mozilla Firefox 2010-01-06 13:35:06 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\ICQ 2010-01-06 09:40:18 ----D---- C:\Programme\ICQ6 2010-01-05 16:37:09 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-05 16:19:45 ----D---- C:\WINDOWS\system32 2010-01-05 16:19:45 ----D---- C:\WINDOWS 2010-01-05 16:19:43 ----HD---- C:\WINDOWS\inf 2010-01-05 16:19:19 ----D---- C:\WINDOWS\twain_32 2010-01-05 16:19:07 ----SHD---- C:\WINDOWS\Installer 2010-01-05 16:17:39 ----SD---- C:\WINDOWS\Tasks 2010-01-05 15:18:10 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\Skype 2010-01-05 14:55:22 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\Winamp 2010-01-05 14:55:05 ----D---- C:\Programme\Java 2010-01-05 13:10:07 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\skypePM 2010-01-05 11:59:27 ----D---- C:\Programme\Last.fm 2010-01-05 11:56:08 ----D---- C:\Programme\Winamp 2010-01-05 09:34:15 ----RASH---- C:\boot.ini 2010-01-05 09:34:15 ----A---- C:\WINDOWS\win.ini 2010-01-05 09:34:15 ----A---- C:\WINDOWS\system.ini 2010-01-04 23:57:42 ----D---- C:\Programme\Hewlett-Packard 2010-01-04 23:52:05 ----D---- C:\WINDOWS\pss 2010-01-04 17:20:29 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\OpenOffice.org2 2009-12-12 22:55:21 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\gtk-2.0 ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-11-25 27408] R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-07-01 43520] R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-09-15 114768] R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-11-25 48560] R1 ssmdrv;ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [2008-04-18 21248] R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys [] R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560] R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-09-15 94160] R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2005-09-27 14944] R2 wg4n;SyGate for NT, wg4n; C:\WINDOWS\SYSTEM32\Drivers\wg4n.sys [2005-09-27 14944] R2 wg5n;SyGate for NT, wg5n; C:\WINDOWS\SYSTEM32\Drivers\wg5n.sys [2005-09-27 14944] R2 wg6n;SyGate for NT, wg6n; C:\WINDOWS\SYSTEM32\Drivers\wg6n.sys [2005-09-27 14944] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2007-03-08 4027840] R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-11-25 23120] R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2008-01-10 2846720] R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\drivers\hidusb.sys [2008-04-13 10368] R3 PdiPorts;Portrait Displays low level device driver; C:\WINDOWS\System32\Drivers\PdiPorts.sys [2006-11-16 15920] R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2007-07-12 96384] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152] R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S1 AmdPPM;AMD HwPState Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdPPM.sys [2007-04-16 33792] S1 fio32;fio32; \??\C:\WINDOWS\system32\drivers\fio32.sys [] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2008-04-14 14720] S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800] S3 Cardex;Cardex; \??\C:\WINDOWS\system32\drivers\TBPANEL.SYS [] S3 DVBLLC;DVB LLC Service; C:\WINDOWS\System32\Drivers\DVBLLC32.sys [2007-05-21 69504] S3 FLASHSYS;FLASHSYS; \??\C:\Programme\MSI\Live Update 4\LU4\FLASHSYS.sys [] S3 HabuFltr;Habu Mouse; C:\WINDOWS\system32\drivers\habu.sys [2006-10-23 27776] S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2003-03-09 51024] S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2003-03-09 16080] S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2003-03-09 21456] S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824] S3 PCASp50;PCASp50 NDIS Protocol Driver; C:\WINDOWS\System32\Drivers\PCASp50.sys [2004-10-25 17664] S3 pdiddcci;DDC/CI monitor; C:\WINDOWS\System32\DRIVERS\pdiddcci.sys [2006-11-16 11776] S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992] S3 TVICHW32;TVICHW32; \??\C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS [] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-13 32128] S3 USBMULCD;USB Multi-Channel Audio Device Interface; C:\WINDOWS\system32\drivers\CM106.sys [2007-07-20 1313792] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\System32\DRIVERS\sr.sys [2008-04-14 73472] S4 vsdatant;vsdatant; C:\WINDOWS\system32\drivers\vsdatant.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-01-15 110592] R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Alwil Software\Avast4\aswUpdSv.exe [2009-11-25 18752] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-01-10 512000] R2 avast! Antivirus;avast! Antivirus; C:\Programme\Alwil Software\Avast4\ashServ.exe [2009-11-25 138680] R2 DTSRVC;Portrait Displays Display Tune Service; C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe [2007-02-01 73728] R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376] R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2008-04-09 66872] R2 SmcService;Sygate Personal Firewall Pro; C:\Programme\Sygate\SPF\smc.exe [2005-09-27 2635472] R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Alwil Software\Avast4\ashMaiSv.exe [2009-11-25 254040] R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Alwil Software\Avast4\ashWebSv.exe [2009-11-25 352920] S2 fioo32;fioo32; C:\WINDOWS\sYSteM32\SvchOst.eXE [2008-04-14 14336] S2 SAMS;Scanning Analist Management System; C:\WINDOWS\System32\sams.exe [] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256] S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-01-15 504104] S3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2003-03-09 65795] S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2005-01-28 38912] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880] -----------------EOF----------------- Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2010-01-11 21:30:27 ======Uninstall list====== -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 8.1.4 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003} Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log Apple Mobile Device Support-->MsiExec.exe /I{D8AB8F0C-CEEB-4A29-8EF5-219B064813F4} Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033} ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3} ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x574f ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7} avast! Antivirus-->C:\Programme\Alwil Software\Avast4\aswRunDll.exe "C:\Programme\Alwil Software\Avast4\Setup\setiface.dll",RunSetup Counter-Strike: Source-->"C:\Programme\Steam\steam.exe" steam://uninstall/240 EA Download Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{EF7E931D-DC84-471B-8DB6-A83358095474} /l1031 ElsterFormular 2008/2009-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}\setup.exe" -l0x7 -removeonly EVEREST Home Edition v2.20-->C:\Programme\EVEREST\unins000.exe forteManager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1883A84D-94AA-432C-9519-FA31B6B118B9}\setup.exe" -l0x7 -removeonly Free Download Manager 2.5-->"C:\Programme\Free Download Manager\unins000.exe" FrostWire-->C:\Programme\FrostWire\Uninstall.exe getPlus(R)_dll-->rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSd.INF, DefaultUninstall GIMP 2.6.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe" GlobeDigital-->C:\Programme\InstallShield Installation Information\{56F150D4-EA0F-415A-8F08-A4F17B782BCC}\setup.exe -runfromtemp -l0x0407 Half-Life 2: Episode One-->"C:\Programme\Steam\steam.exe" steam://uninstall/380 HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A} Hotfix for Microsoft .NET Framework 3.0 (KB932471)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {ECD292A0-0347-4244-8C24-5DBCE990FB40} /package {BAF78226-3200-4DB4-BE33-4D922A799840} HP Deskjet 3740-->msiexec /x{F901CA6D-A074-42D3-A11D-33AAE6FFD0C1} HP Update-->MsiExec.exe /X{818ABC3C-635C-4651-8183-D0E9640B7DD1} ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly iTunes-->MsiExec.exe /I{B85C4D19-6CEB-48CF-BD98-C887AC8C6F94} J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050} Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF} Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} Last.fm 1.5.4.24567-->"C:\Programme\Last.fm\unins000.exe" Liveupdate4-->"C:\Programme\MSI\Live Update 4\unins000.exe" Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28} Microsoft .NET Framework 3.0 German Language Pack-->c:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53} Microsoft .NET Framework 3.0 Service Pack 1-->MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783} Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Mozilla Firefox (3.5.7)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe Mozilla Thunderbird (2.0.0.14)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe MSI DigiCell-->MsiExec.exe /I{B15F6758-D185-4377-9F3A-7B30B03E9A97} MSI Live Update 3-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\MSI\Live Update 3\Uninst.isu" MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E} OpenOffice.org 2.4-->MsiExec.exe /I{1B14B0C3-2D60-477C-A1FE-B88E60948854} Portal-->"C:\Programme\Steam\steam.exe" steam://uninstall/400 QuickTime-->MsiExec.exe /I{6EC874C2-F950-4B7E-A5B7-B1066D6B74AA} RagnarokOnline-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{27A295AF-334B-495E-9E54-71B77500ED70}\setup.exe" -l0x9 -removeonly rayman2-->C:\WINDOWS\UbiSoft\SetupUbi.exe -uninstall rayman2 Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly Red Orchestra-->"C:\Programme\Steam\steam.exe" steam://uninstall/1200 RedOrchestra SDK Beta-->"C:\Programme\Steam\steam.exe" steam://uninstall/1220 SDK-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DEA342C-15CB-4F52-97B6-06A9C4B9C06F}\setup.exe" -l0x9 Sicherheitsupdate für Windows XP (KB913433)-->C:\WINDOWS\System32\MacroMed\Flash\genuinst.exe C:\WINDOWS\System32\MacroMed\Flash\KB913433.inf Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748} Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36} SoulSeek Client 156c-->"C:\Programme\Soulseek\uninstall.exe" SPEED-LINK Medusa 5.1 USB-->C:\WINDOWS\System32\Cmeau106.exe /rm /pusb106 Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3} Sygate Personal Firewall Pro-->MsiExec.exe /I{10B446B3-4DF4-4489-A168-8A98F7CD807E} Team Fortress 2-->"C:\Programme\Steam\steam.exe" steam://uninstall/440 TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe TVgenial [v3.40]-->C:\Programme\TVgenial\uninstall.exe TweakXP Tweaking Utility-->C:\Programme\TweakXP\unins000.exe Vanguard: Saga of Heroes-->C:\Programme\InstallShield Installation Information\{D0B3166F-BBE3-4025-B822-84A4D3D8608E}\ISSetup.exe -runfromtemp -l0x0009 -removeonly VideoLAN VLC media player 0.8.6f-->C:\Programme\VideoLAN\VLC\uninstall.exe Winamp-->"C:\Programme\Winamp\UninstWA.exe" Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe" Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe" Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4} Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790} Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840} Windows Workflow Foundation DE Language Pack-->MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B} Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_C710CEED791003E4D635992B02471584893356A0\amdk8.inf WinRAR archiver-->C:\Programme\WinRAR\uninstall.exe Wisterer HX 4.2.26-->"C:\Programme\Wisterer HX\unins000.exe" XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe" You Don't Know Jack 4 1.00-->C:\PROGRA~1\YOUDON~1\Setup.exe /remove Zylom Games Player Plugin-->"C:\Programme\Zylom Games\UninstallPlugin.exe" --uninstall ======Security center information====== AV: avast! antivirus 4.8.1368 [VPS 100111-0] FW: Sygate Personal Firewall Pro ======System event log====== Computer Name: XXX Event Code: 7036 Message: Dienst "avast! Mail Scanner" befindet sich jetzt im Status "Ausgeführt". Record Number: 32698 Source Name: Service Control Manager Time Written: 20091118213815.000000+060 Event Type: Informationen User: Computer Name: XXX Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "avast! Mail Scanner" gesendet. Record Number: 32697 Source Name: Service Control Manager Time Written: 20091118213814.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: XXX Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "RAS-Verbindungsverwaltung" gesendet. Record Number: 32696 Source Name: Service Control Manager Time Written: 20091118213813.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: XXX Event Code: 7036 Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt". Record Number: 32695 Source Name: Service Control Manager Time Written: 20091118213813.000000+060 Event Type: Informationen User: Computer Name: XXX Event Code: 7036 Message: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt". Record Number: 32694 Source Name: Service Control Manager Time Written: 20091118213813.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: XXX Event Code: 102 Message: wuaueng.dll (3224) SUS20ClientDataStore: Das Datenbankmodul hat eine neue Instanz gestartet (0). Record Number: 16401 Source Name: ESENT Time Written: 20091127063831.000000+060 Event Type: Informationen User: Computer Name: XXX Event Code: 100 Message: wuauclt (3224) Das Datenbankmodul 5.01.2600.5512 ist gestartet. Record Number: 16400 Source Name: ESENT Time Written: 20091127063831.000000+060 Event Type: Informationen User: Computer Name: XXX Event Code: 101 Message: wuauclt (3136) Das Datenbankmodul wurde beendet. Record Number: 16399 Source Name: ESENT Time Written: 20091127063831.000000+060 Event Type: Informationen User: Computer Name: XXX Event Code: 103 Message: wuaueng.dll (3136) SUS20ClientDataStore: Das Datenbankmodul hat die Instanz (0) beendet. Record Number: 16398 Source Name: ESENT Time Written: 20091127063831.000000+060 Event Type: Informationen User: Computer Name: XXX Event Code: 102 Message: wuaueng.dll (3136) SUS20ClientDataStore: Das Datenbankmodul hat eine neue Instanz gestartet (0). Record Number: 16397 Source Name: ESENT Time Written: 20091127063831.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM;C:\Programme\QuickTime\QTSystem\ "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 43 Stepping 1, AuthenticAMD "PROCESSOR_REVISION"=2b01 "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO "CLASSPATH"=.;C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip "QTJAVA"=C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip -----------------EOF----------------- |
11.01.2010, 22:35 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Achso, hast Du die älteren Logs von Malwarebytes und Avast noch? Ich muss wissen, welche Dateien bzw. Schädlinge Du da gelöscht hast.
__________________ Logfiles bitte immer in CODE-Tags posten |
12.01.2010, 08:05 | #5 |
| explorer.exe startet nicht mehr nach Entfernen von Malware Hallo, leider hab ich nicht mehr die ganzen logs, und teilweise auch Sachen manuell gelöscht (ich denke calculator.dll oder exe und noch eins). Hier mal die logs die ich noch habe. Code:
ATTFilter Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3195 Windows 5.1.2600 Service Pack 3 18.11.2009 23:08:41 mbam-log-2009-11-18 (23-08-41).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 21711 Laufzeit: 3 minute(s), 57 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter 29.10.2009 18:02:07 XXX1636 Sign of "BV:AutoRun-AA [Wrm]" has been found in "C:\WINDOWS\system32\autorun.i" file. 29.10.2009 18:02:20 XXX1636 Sign of "BV:AutoRun-W" has been found in "C:\WINDOWS\system32\autorun.in" file. 04.01.2010 09:57:14 XXX1672 Sign of "Win32:Bredolab-AP [Trj]" has been found in "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2P2JYN45\reoi[1].exe" file. 04.01.2010 09:58:24 XXX1672 Sign of "Win32:Malware-gen" has been found in "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXE943WR\reoh[1].exe" file. |
12.01.2010, 08:11 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Ist das Problem mit der explorer.exe immer noch? Probier mal bitte CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> explorer.exe startet nicht mehr nach Entfernen von Malware |
12.01.2010, 23:39 | #7 |
| explorer.exe startet nicht mehr nach Entfernen von Malware So alles soweit befolgt; hier ist das Logfile. Nach dem Autoneustart, musste ich schonmal nicht explorer.exe manuell starten....teste das morgen früh nochmal, sonst gibts hier noch Knatsch... Aber schonmal vielen Dank für deine super Hilfe. Code:
ATTFilter ComboFix 10-01-12.02 - XXX 12.01.2010 23:25:34.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1982.1428 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\cofi.exe AV: avast! antivirus 4.8.1368 [VPS 100112-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} FW: Sygate Personal Firewall Pro *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\XXX\ntuser.dll c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811 c:\recycler\S-1-5-21-1541881402-7597967648-207846606-8613 c:\recycler\S-1-5-21-4710777970-8816730320-379817942-0635 c:\windows\010112010146101105.rx c:\windows\010112010146120114.xxe c:\windows\system32\calc.dll c:\windows\system32\wbem\Performance\WmiApRpl_new.h c:\windows\system32\wl.exe . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_APPLE_MOBILE_DEVICE -------\Legacy_FIOO32 -------\Service_Apple Mobile Device -------\Service_fioo32 -------\Service_SfX ((((((((((((((((((((((( Dateien erstellt von 2009-12-12 bis 2010-01-12 )))))))))))))))))))))))))))))) . 2010-01-12 21:53 . 2010-01-12 21:53 -------- d-----w- c:\programme\CCleaner 2010-01-11 20:30 . 2010-01-11 20:30 -------- d-----w- C:\rsit 2010-01-11 20:30 . 2010-01-11 20:30 -------- d-----w- c:\programme\trend micro 2010-01-06 09:46 . 2010-01-06 09:46 -------- d-----w- c:\programme\ICQ6Toolbar 2010-01-06 09:46 . 2010-01-06 09:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ 2010-01-06 08:39 . 2010-01-06 09:48 -------- d-----w- c:\programme\ICQ6.5 2010-01-05 15:19 . 2010-01-05 15:20 -------- d-----w- c:\windows\system32\NtmsData 2010-01-05 14:37 . 2010-01-05 14:37 388096 ----a-r- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe 2010-01-05 14:36 . 2010-01-05 14:36 -------- d-----w- c:\programme\TrendMicro 2010-01-05 12:49 . 2010-01-05 13:54 152576 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll 2010-01-05 12:49 . 2010-01-05 13:54 79488 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2010-01-05 10:55 . 2010-01-05 10:55 -------- d-----w- c:\programme\Winamp Detect 2010-01-04 22:57 . 2010-01-05 06:45 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\HpUpdate 2010-01-04 22:57 . 2010-01-04 22:57 -------- d-----w- c:\windows\Hewlett-Packard . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-11 05:37 . 2008-03-25 17:48 -------- d-----w- c:\programme\Wisterer HX 2010-01-06 12:35 . 2008-03-20 22:31 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\ICQ 2010-01-06 08:40 . 2008-03-20 22:31 -------- d-----w- c:\programme\ICQ6 2010-01-05 14:18 . 2009-12-04 09:22 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Skype 2010-01-05 13:55 . 2008-03-21 08:23 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Winamp 2010-01-05 13:55 . 2008-03-30 12:01 -------- d-----w- c:\programme\Java 2010-01-05 12:10 . 2009-12-04 09:25 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\skypePM 2010-01-05 10:59 . 2008-05-07 19:14 -------- d-----w- c:\programme\Last.fm 2010-01-05 10:56 . 2008-03-21 08:23 -------- d-----w- c:\programme\Winamp 2010-01-04 22:57 . 2008-04-20 12:31 -------- d-----w- c:\programme\Hewlett-Packard 2010-01-04 16:20 . 2008-03-30 12:33 1 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2010-01-04 16:20 . 2008-03-30 12:32 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2 2009-12-12 21:55 . 2009-05-24 15:02 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\gtk-2.0 2009-12-04 09:25 . 2009-12-04 09:25 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----r- c:\programme\Skype 2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-11-24 23:54 . 2009-10-29 12:22 1280480 ----a-w- c:\windows\system32\aswBoot.exe 2009-11-24 23:51 . 2009-10-29 12:22 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys 2009-11-24 23:49 . 2009-10-29 12:22 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2009-11-24 23:48 . 2009-10-29 12:22 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2009-11-24 23:47 . 2009-10-29 12:22 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys 2009-11-24 23:47 . 2009-10-29 12:22 97480 ----a-w- c:\windows\system32\AvastSS.scr 2009-11-22 18:15 . 2009-11-22 18:15 -------- d-----w- c:\programme\ElsterFormular 2009-11-22 18:15 . 2008-03-20 20:25 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes 2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-18 21:51 . 2008-03-31 21:11 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Free Download Manager 2009-11-04 21:10 . 2009-11-04 21:10 1961720 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe 2009-10-17 11:37 . 2008-03-20 20:16 86327 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WistererHX"="c:\programme\Wisterer HX\WistererHX.exe" [2008-01-05 2646016] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2005-09-27 2635472] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-10 385024] "SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAMS] @="Service" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29.10.2009 13:22 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.10.2009 13:22 20560] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [06.01.2010 10:46 222968] S1 fio32;fio32;\??\c:\windows\system32\drivers\fio32.sys --> c:\windows\system32\drivers\fio32.sys [?] S2 SAMS;Scanning Analist Management System;c:\windows\System32\sams.exe --> c:\windows\System32\sams.exe [?] S3 DVBLLC;DVB LLC Service;c:\windows\system32\drivers\DVBLLC32.sys [19.04.2008 14:05 69504] S3 FLASHSYS;FLASHSYS;c:\programme\MSI\Live Update 4\LU4\FlashSys.sys [29.10.2009 18:27 9216] S3 USBMULCD;USB Multi-Channel Audio Device Interface;c:\windows\system32\drivers\CM106.sys [26.03.2008 19:26 1313792] . Inhalt des "geplante Tasks" Ordners 2009-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2010-01-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003Core.job - c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04] 2010-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003UA.job - c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm Trusted Zone: com.tw\asia.msi Trusted Zone: com.tw\global.msi Trusted Zone: com.tw\www.msi DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\rgycvk7s.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np32asw.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-Cm106Sound - cm106.cpl ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-12 23:32 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant] "ImagePath"="" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(680) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(3744) c:\windows\system32\SSSensor.dll c:\windows\system32\ieframe.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\programme\Alwil Software\Avast4\aswUpdSv.exe c:\programme\Alwil Software\Avast4\ashServ.exe c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\PnkBstrA.exe c:\programme\Sygate\SPF\smc.exe c:\programme\Alwil Software\Avast4\ashMaiSv.exe c:\programme\Alwil Software\Avast4\ashWebSv.exe c:\windows\System32\wbem\wmiapsrv.exe c:\windows\system32\RunDll32.exe c:\windows\SOUNDMAN.EXE . ************************************************************************** . Zeit der Fertigstellung: 2010-01-12 23:35:00 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-01-12 22:34 Vor Suchlauf: 11 Verzeichnis(se), 17.821.696.000 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 17.724.829.696 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /usepmtimer /NoExecute=OptOut - - End Of File - - 9FEA278B841AB2BA09E9BF6D7D1170A6 |
13.01.2010, 07:25 | #8 |
| explorer.exe startet nicht mehr nach Entfernen von Malware So, nochmal getestet. Computer starter wieder normal hoch Kannst du aus dem Log herauslesen, ob der Computer soweit wieder sauber ist? Oder soll ich noch mehr unternehmen um ihn sauber zu kriegen. Ansonsten schonmal ein riesengroßes Wirklich genial, wie schnell und kompetent du geholfen hast. |
13.01.2010, 08:20 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter KILLALL:: File:: c:\windows\system32\drivers\fio32.sys Driver:: fio32 ICQ Service 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
13.01.2010, 19:28 | #10 |
| explorer.exe startet nicht mehr nach Entfernen von Malware So, hier mal das neue Log-file. Wenn du Lust hast, kannst auch ein paar erklärende Worte abgeben, versteh aber vollkommen, wenn du dafür keine Zeit und Muße hast. Code:
ATTFilter ComboFix 10-01-13.01 - XXX 13.01.2010 19:13:16.2.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1982.1578 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX\Desktop\CFScript.txt AV: avast! antivirus 4.8.1368 [VPS 100113-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} FW: Sygate Personal Firewall Pro *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6} FILE :: "c:\windows\system32\drivers\fio32.sys" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\ICQ6.5\ICQLRun.exe . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_FIO32 -------\Legacy_ICQ_SERVICE -------\Service_fio32 -------\Service_ICQ Service ((((((((((((((((((((((( Dateien erstellt von 2009-12-13 bis 2010-01-13 )))))))))))))))))))))))))))))) . 2010-01-12 21:53 . 2010-01-12 21:53 -------- d-----w- c:\programme\CCleaner 2010-01-11 20:30 . 2010-01-11 20:30 -------- d-----w- C:\rsit 2010-01-11 20:30 . 2010-01-11 20:30 -------- d-----w- c:\programme\trend micro 2010-01-06 09:46 . 2010-01-06 09:46 -------- d-----w- c:\programme\ICQ6Toolbar 2010-01-06 09:46 . 2010-01-06 09:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ 2010-01-06 08:39 . 2010-01-13 18:16 -------- d-----w- c:\programme\ICQ6.5 2010-01-05 15:19 . 2010-01-05 15:20 -------- d-----w- c:\windows\system32\NtmsData 2010-01-05 14:37 . 2010-01-05 14:37 388096 ----a-r- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe 2010-01-05 14:36 . 2010-01-05 14:36 -------- d-----w- c:\programme\TrendMicro 2010-01-05 12:49 . 2010-01-05 13:54 152576 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll 2010-01-05 12:49 . 2010-01-05 13:54 79488 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2010-01-05 10:55 . 2010-01-05 10:55 -------- d-----w- c:\programme\Winamp Detect 2010-01-04 22:57 . 2010-01-05 06:45 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\HpUpdate 2010-01-04 22:57 . 2010-01-04 22:57 -------- d-----w- c:\windows\Hewlett-Packard . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-11 05:37 . 2008-03-25 17:48 -------- d-----w- c:\programme\Wisterer HX 2010-01-06 12:35 . 2008-03-20 22:31 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\ICQ 2010-01-06 08:40 . 2008-03-20 22:31 -------- d-----w- c:\programme\ICQ6 2010-01-05 14:18 . 2009-12-04 09:22 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Skype 2010-01-05 13:55 . 2008-03-21 08:23 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Winamp 2010-01-05 13:55 . 2008-03-30 12:01 -------- d-----w- c:\programme\Java 2010-01-05 12:10 . 2009-12-04 09:25 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\skypePM 2010-01-05 10:59 . 2008-05-07 19:14 -------- d-----w- c:\programme\Last.fm 2010-01-05 10:56 . 2008-03-21 08:23 -------- d-----w- c:\programme\Winamp 2010-01-04 22:57 . 2008-04-20 12:31 -------- d-----w- c:\programme\Hewlett-Packard 2010-01-04 16:20 . 2008-03-30 12:33 1 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2010-01-04 16:20 . 2008-03-30 12:32 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2 2009-12-12 21:55 . 2009-05-24 15:02 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\gtk-2.0 2009-12-04 09:25 . 2009-12-04 09:25 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----r- c:\programme\Skype 2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-11-24 23:54 . 2009-10-29 12:22 1280480 ----a-w- c:\windows\system32\aswBoot.exe 2009-11-24 23:51 . 2009-10-29 12:22 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys 2009-11-24 23:49 . 2009-10-29 12:22 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2009-11-24 23:48 . 2009-10-29 12:22 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2009-11-24 23:47 . 2009-10-29 12:22 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys 2009-11-24 23:47 . 2009-10-29 12:22 97480 ----a-w- c:\windows\system32\AvastSS.scr 2009-11-22 18:15 . 2009-11-22 18:15 -------- d-----w- c:\programme\ElsterFormular 2009-11-22 18:15 . 2008-03-20 20:25 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes 2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-18 21:51 . 2008-03-31 21:11 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Free Download Manager 2009-11-04 21:10 . 2009-11-04 21:10 1961720 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe 2009-10-17 11:37 . 2008-03-20 20:16 86327 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat . ((((((((((((((((((((((((((((( SnapShot@2010-01-12_22.31.47 ))))))))))))))))))))))))))))))))))))))))) . + 2010-01-13 18:17 . 2010-01-13 18:17 16384 c:\windows\Temp\Perflib_Perfdata_7ac.dat + 2010-01-13 18:17 . 2010-01-13 18:17 16384 c:\windows\Temp\Perflib_Perfdata_598.dat + 2010-01-13 17:58 . 2010-01-13 17:58 16384 c:\windows\Temp\Perflib_Perfdata_570.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WistererHX"="c:\programme\Wisterer HX\WistererHX.exe" [2008-01-05 2646016] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2005-09-27 2635472] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-10 385024] "SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAMS] @="Service" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29.10.2009 13:22 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.10.2009 13:22 20560] S2 SAMS;Scanning Analist Management System;c:\windows\System32\sams.exe --> c:\windows\System32\sams.exe [?] S3 DVBLLC;DVB LLC Service;c:\windows\system32\drivers\DVBLLC32.sys [19.04.2008 14:05 69504] S3 FLASHSYS;FLASHSYS;c:\programme\MSI\Live Update 4\LU4\FlashSys.sys [29.10.2009 18:27 9216] S3 USBMULCD;USB Multi-Channel Audio Device Interface;c:\windows\system32\drivers\CM106.sys [26.03.2008 19:26 1313792] . Inhalt des "geplante Tasks" Ordners 2009-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2010-01-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003Core.job - c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04] 2010-01-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003UA.job - c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm Trusted Zone: com.tw\asia.msi Trusted Zone: com.tw\global.msi Trusted Zone: com.tw\www.msi DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\rgycvk7s.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np32asw.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-13 19:17 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant] "ImagePath"="" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(680) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(2160) c:\windows\system32\ieframe.dll c:\windows\system32\SSSensor.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\programme\Alwil Software\Avast4\aswUpdSv.exe c:\programme\Alwil Software\Avast4\ashServ.exe c:\windows\system32\Ati2evxx.exe c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\PnkBstrA.exe c:\programme\Sygate\SPF\smc.exe c:\windows\SOUNDMAN.EXE c:\programme\Alwil Software\Avast4\ashMaiSv.exe c:\programme\Alwil Software\Avast4\ashWebSv.exe c:\windows\System32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-01-13 19:20:43 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-01-13 18:20 ComboFix2.txt 2010-01-12 22:35 Vor Suchlauf: 12 Verzeichnis(se), 17.667.158.016 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 17.627.594.752 Bytes frei - - End Of File - - 1A62B814B3183703FAF48B74D6FE4E9A |
13.01.2010, 20:14 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Was genau möchtest Du denn wissen? Wie verhält sich Dein PC nun? Machst Du noch einen Kontrollscan mit Malwarebytes und aktuellen Signaturen?
__________________ Logfiles bitte immer in CODE-Tags posten |
13.01.2010, 21:47 | #12 |
| explorer.exe startet nicht mehr nach Entfernen von Malware War nur neugierig, welcher Wurm es ist/war. Und woran erkannt...hätte jetzt den icq-service als ungefährlich eingestuft. Anbei das Log-file von Anti-Malwarebytes Ich hoffe, das die Malware in der restore-information keinen Schaden mehr angerichtet hat. Das einzig auffälige am System ist, das es sehr lange zum manuellen Herunterfahren braucht. Vom klicken "ausschalten" bis zum Auswahlbildschirm neustart-herunterfahren-*** vergehen gefühlt eine Minute. Und bis er dann ganz heruntergefahren ist nochmal ziemlich lange. Beim automatischen Neustart während cofi und cofi skript ging es viel schneller. Code:
ATTFilter Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3510 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 13.01.2010 21:43:22 mbam-log-2010-01-13 (21-43-22).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 217603 Laufzeit: 53 minute(s), 18 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{E2AD94E5-A29D-4E29-A2C8-786BF5925402}\RP1\A0000127.sys (Malware.Trace) -> Quarantined and deleted successfully. |
13.01.2010, 21:50 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Meist bekommst das über eine Google-Suche des Dateinamens heraus. Dieser FIO32 scheint mir KoobFace gewesen zu sein. Und der ICQ-Service ist unnötig, deswegen hab ich den mal raus genommen Oder hast Du nun Probleme mit ICQ? Auf dem langsamen Shutdown hab ich noch keinen Reim, müsste ich selber mal nach Googeln, ich könnte mir schon was vorstellen, ist aber unwahrscheinlich: die Auslagerungsdatei wird beim herunterfahren gelöscht das verzögert den Shutdown extrem
__________________ Logfiles bitte immer in CODE-Tags posten |
13.01.2010, 23:07 | #14 |
| explorer.exe startet nicht mehr nach Entfernen von Malware Das Malwarebytes Log ist jetzt sauber, werd das mal mit weiter beobachten und mit dem nächsten Update nochmal drüber laufen lassen. Oder hast du noch weitere Vorschläge zur Systemprüfung? Über Icq wird sich die Freundin dann schon noch beschwerden , falls irgendwas nicht mehr so funktioniert. Da war ich mit der Google-Suche ja schon aufm richtigem Weg nur am vernünftigen Entfernen hats gehapert. Kann man das mit der Auslagerungsdatei irgendwie testen? Oder erstmal so hinnehmen? Bin echt begeistert, ist echt eine klasse Hilfe und super erklärt! |
14.01.2010, 08:40 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Geh in die Registrierung (regedit.exe), in diesem Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management muss ClearPageFileAtShutDown den Wert 0 haben Dann wird die Pagefile nicht gelöscht, bei 1 wird sie gelöscht bei jedem Shutdown.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu explorer.exe startet nicht mehr nach Entfernen von Malware |
alles gelöscht, anti malware, antivirus, avast, avast!, bho, browser, browseui preloader, entfernen, exe.exe, explorer.exe startet nicht, firewall, free download, google, helper, hijack, hijackthis, internet, internet explorer, logfile, malwar, malware, plug-in, problem, programme, registry, rundll, software, suche, system, virus, windows, windows xp |