| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rogue.MalwareDefense, Rootkit und FreundWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
22.01.2010, 19:29
| #1 |
 |  Rogue.MalwareDefense, Rootkit und Freund Guten Abend, liebe Community! Gleich vorweg erstmal ein sorry für diesen Thread. Ich habe einfach affektiert und übereilt gepostet, weil ich mich in dem Moment so über den Befall geärgert hatte - verschuldet durch mein blindes und wildes Herumklicken, ergo eigener Dummheit (obwohl mir soetwas eigentlich selten passiert). Nun denn, ich konnte die Schädlinge schnell ausmachen (Rootkit.TDSS.Gen, Rogue.Installer.Gen, Rogue.MalwareDefense, Rogue.Link, Rootkit.TDSS) und über diese Anleitung hier scheinbar alles entfernen. Ich habe - wie beschrieben - erst Malwarebytes drüberlaufen lassen, der alles wegbekommen haben muss. Denn tdsskiller hat nichts mehr gefunden und auch bei einem weiteren Malwarebytesdurchlauf war nichts mehr zu finden. Dennoch habe ich noch ein mulmiges Gefühl und wollte euch nochmals mein Hijack log präsentieren. Gibt es noch etwas, was ich tun sollte? In der oben genannten Anleitung ist ja noch von ComboFix die Rede - das wollte ich aber vorerst nicht benutzen, weil hier ja ausdrücklich gesagt wurde, dass das nur unter Anleitung gemacht werden soll. Wäre für Hilfe sehr dankbar, lG Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:20:11, on 22.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Acer\Empowering Technology\admServ.exe c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe C:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe C:\WINDOWS\RTHDCPL.EXE C:\Acer\Empowering Technology\eRecovery\Monitor.exe C:\Programme\Java\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\Acer\Empowering Technology\admtray.exe C:\Program Files\Acer\Acer Arcade\PCMService.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Sony Ericsson PC Suite\SupServ.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\PROGRA~1\LAUNCH~1\LManager.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDCountdown.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\DOKUME~1\***\LOKALE~1\Temp\RtkBtMnt.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\foobar2000\foobar2000.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***://update.microsoft.com/windowsupdate/v6/default.aspx?ln=de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ***://windowsupdate.microsoft.com/ O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe" O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ***://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1254669372847 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Emma Device Management (EmmaDevMgmtSvc) - Sony Ericsson Mobile Communications - C:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe O23 - Service: Emma Update Management (EmmaUpdMgmtSvc) - Sony Ericsson Mobile Communications - C:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\bin\jqs.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Programme\Sony Ericsson PC Suite\SupServ.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 10732 bytes MBAM: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3615 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 22.01.2010 18:04:05 mbam-log-2010-01-22 (18-04-05).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 207176 Laufzeit: 35 minute(s), 59 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
23.01.2010, 20:25
| #2 |
| | Rogue.MalwareDefense, Rootkit und Freund Hier das aktuellste HJT Log und ein AntiVir Scan. Fühle mich nach wie vor nicht wohl, PC scheint auch noch zu lahmen. Gibt es nicht noch Schritte, die ich unter eurer Anleitung zum sichergehen ausführen kann? Oder Einträge bei HJT zum fixen? Denn dieses Malware Defense Probleme, inkl. Rootkits scheint ja echt die Runde zu machen. Hilfe :-(
__________________Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:19:58, on 23.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Acer\Empowering Technology\admServ.exe c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe C:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\bin\jqs.exe C:\Acer\Empowering Technology\eRecovery\Monitor.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\Acer\Empowering Technology\admtray.exe C:\Programme\Sony Ericsson PC Suite\SupServ.exe C:\Program Files\Acer\Acer Arcade\PCMService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\PROGRA~1\LAUNCH~1\LManager.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDCountdown.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\DOKUME~1\***\LOKALE~1\Temp\RtkBtMnt.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://update.microsoft.com/windowsupdate/v6/default.aspx?ln=de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe" O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1254669372847 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Emma Device Management (EmmaDevMgmtSvc) - Sony Ericsson Mobile Communications - C:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe O23 - Service: Emma Update Management (EmmaUpdMgmtSvc) - Sony Ericsson Mobile Communications - C:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\bin\jqs.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Programme\Sony Ericsson PC Suite\SupServ.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 10683 bytes Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 23. Januar 2010 19:35 Es wird nach 1636399 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ACER-0C7D612F1B Versionsinformationen: BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 19:45:38 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:12 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:46 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:42:00 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:45:38 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:45:38 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:01:00 VBASE003.VDF : 7.10.3.2 2048 Bytes 20.01.2010 16:01:00 VBASE004.VDF : 7.10.3.3 2048 Bytes 20.01.2010 16:01:00 VBASE005.VDF : 7.10.3.4 2048 Bytes 20.01.2010 16:01:00 VBASE006.VDF : 7.10.3.5 2048 Bytes 20.01.2010 16:01:00 VBASE007.VDF : 7.10.3.6 2048 Bytes 20.01.2010 16:01:02 VBASE008.VDF : 7.10.3.7 2048 Bytes 20.01.2010 16:01:02 VBASE009.VDF : 7.10.3.8 2048 Bytes 20.01.2010 16:01:02 VBASE010.VDF : 7.10.3.9 2048 Bytes 20.01.2010 16:01:02 VBASE011.VDF : 7.10.3.10 2048 Bytes 20.01.2010 16:01:02 VBASE012.VDF : 7.10.3.11 2048 Bytes 20.01.2010 16:01:04 VBASE013.VDF : 7.10.3.12 2048 Bytes 20.01.2010 16:01:04 VBASE014.VDF : 7.10.3.45 173568 Bytes 22.01.2010 12:35:40 VBASE015.VDF : 7.10.3.46 2048 Bytes 22.01.2010 12:35:40 VBASE016.VDF : 7.10.3.47 2048 Bytes 22.01.2010 12:35:40 VBASE017.VDF : 7.10.3.48 2048 Bytes 22.01.2010 12:35:40 VBASE018.VDF : 7.10.3.49 2048 Bytes 22.01.2010 12:35:42 VBASE019.VDF : 7.10.3.50 2048 Bytes 22.01.2010 12:35:42 VBASE020.VDF : 7.10.3.51 2048 Bytes 22.01.2010 12:35:42 VBASE021.VDF : 7.10.3.52 2048 Bytes 22.01.2010 12:35:42 VBASE022.VDF : 7.10.3.53 2048 Bytes 22.01.2010 12:35:42 VBASE023.VDF : 7.10.3.54 2048 Bytes 22.01.2010 12:35:42 VBASE024.VDF : 7.10.3.55 2048 Bytes 22.01.2010 12:35:42 VBASE025.VDF : 7.10.3.56 2048 Bytes 22.01.2010 12:35:42 VBASE026.VDF : 7.10.3.57 2048 Bytes 22.01.2010 12:35:42 VBASE027.VDF : 7.10.3.58 2048 Bytes 22.01.2010 12:35:42 VBASE028.VDF : 7.10.3.59 2048 Bytes 22.01.2010 12:35:42 VBASE029.VDF : 7.10.3.60 2048 Bytes 22.01.2010 12:35:42 VBASE030.VDF : 7.10.3.61 2048 Bytes 22.01.2010 12:35:42 VBASE031.VDF : 7.10.3.62 67584 Bytes 22.01.2010 12:35:42 Engineversion : 8.2.1.150 AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 12:35:44 AESCRIPT.DLL : 8.1.3.12 823675 Bytes 23.01.2010 12:35:44 AESCN.DLL : 8.1.3.1 127348 Bytes 14.01.2010 17:45:02 AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 19:45:38 AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 16:32:04 AEPACK.DLL : 8.2.0.5 422262 Bytes 14.01.2010 17:44:58 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:40 AEHEUR.DLL : 8.1.0.195 2232695 Bytes 14.01.2010 17:44:52 AEHELP.DLL : 8.1.10.0 237942 Bytes 14.01.2010 17:44:28 AEGEN.DLL : 8.1.1.83 369014 Bytes 06.01.2010 19:11:48 AEEMU.DLL : 8.1.1.0 393587 Bytes 04.10.2009 19:48:44 AECORE.DLL : 8.1.9.5 184693 Bytes 14.01.2010 17:44:24 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:58 AVPREF.DLL : 9.0.3.0 44289 Bytes 04.10.2009 19:50:42 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:30 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:06 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:38 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:06 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:50 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:30 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:22 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:18 RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 19:45:38 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Samstag, 23. Januar 2010 19:35 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '37577' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'foobar2000.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtkBtMnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LCDMedia.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LCDCountdown.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LCDPOP3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LCDClock.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LVCOMSX.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LCDMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ePower_DMC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SupServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'admtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EmmaUpdateMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EmmaDeviceMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'admServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '65' Prozesse mit '65' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '75' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <ACER> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Beginne mit der Suche in 'D:\' <ACERDATA> Ende des Suchlaufs: Samstag, 23. Januar 2010 20:17 Benötigte Zeit: 42:19 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6593 Verzeichnisse wurden überprüft 350448 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 350446 Dateien ohne Befall 7100 Archive wurden durchsucht 2 Warnungen 2 Hinweise 37577 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Geändert von Rattle07 (23.01.2010 um 20:36 Uhr) |
|
23.01.2010, 20:36
| #3 |
  | Rogue.MalwareDefense, Rootkit und Freund Hi,
__________________die logs sind sauber, dass hat aber in dem Fall wenig zu sagen (ist ja schließlich auch ein Rootkit). Du hast CF nicht laufen lassen, oder? Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ |
|
24.01.2010, 14:19
| #4 |
| | Rogue.MalwareDefense, Rootkit und Freund Nein, CF habe ich nicht durchlaufen lassen! Hier das GMER LOG GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-24 14:41:47 Windows 5.1.2600 Service Pack 3 Running: u6q9ynwo.exe; Driver: C:\DOKUME~1\Tim\LOKALE~1\Temp\kfeyifob.sys ---- System - GMER 1.0.15 ---- SSDT F7BCD0B6 ZwCreateKey SSDT F7BCD0AC ZwCreateThread SSDT F7BCD0BB ZwDeleteKey SSDT F7BCD0C5 ZwDeleteValueKey SSDT F7BCD0CA ZwLoadKey SSDT F7BCD098 ZwOpenProcess SSDT F7BCD09D ZwOpenThread SSDT F7BCD0D4 ZwReplaceKey SSDT F7BCD0CF ZwRestoreKey SSDT F7BCD0C0 ZwSetValueKey SSDT F7BCD0A7 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6D86360, 0x2255BD, 0xE8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\Cdrom \Device\CdRom0 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0014a4fde349 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016cfe4e979 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016cfe4e979 (not active ControlSet) Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@iajgdfojhmdemnldog 0x6A 0x61 0x70 0x67 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@hadiagidceabeffl 0x6A 0x61 0x70 0x67 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@nanagnknhhmddbgekdblgnomoknd 0x6A 0x61 0x65 0x64 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@mapamiiofnppgmjkdbjimlcbio 0x6A 0x61 0x65 0x64 ... ---- EOF - GMER 1.0.15 ---- Geändert von Rattle07 (24.01.2010 um 14:51 Uhr) Grund: Ging doch schneller als erwartet! |
|
24.01.2010, 19:52
| #5 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi, was GMER in der Reg gefunden hat ist seltsam. Da sind "approved" Shellerweiterungen mit seltsamen Namen, dass muss ich intern mal prüfen... Code:
ATTFilter Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@iajgdfojhmdemnldog 0x6A 0x61 0x70 0x67 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@hadiagidceabeffl 0x6A 0x61 0x70 0x67 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@nanagnknhhmddbgekdblgnomoknd 0x6A 0x61 0x65 0x64 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@mapamiiofnppgmjkdbjimlcbio 0x6A 0x61 0x65 0x64 ...
http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe
Code:
ATTFilter :reg
[HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
:comment
Combofix start
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonceex]
:regfind
{D80C83FA-041F-C3F6-575E-D43CAA87FACC}
{77669FD0-6E68-24CD-3888-E445136BD040}
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
24.01.2010, 20:23
| #6 |
| | Rogue.MalwareDefense, Rootkit und Freund Danke - ich komme leider vor Donnerstag nicht an den PC, daher gibts erst dann den Bericht! Bis dann! |
|
28.01.2010, 14:41
| #7 |
| | Rogue.MalwareDefense, Rootkit und Freund So, ich bin wieder am besagten Rechner. Hast du intern schon etwas herausfinden können oder waren dafür erst meine Scanergebnisse nötig? Hier sind sie: SystemLook v1.0 by jpshortstuff (11.01.10) Log created at 14:37 on 28/01/2010 by Tim (Administrator - Elevation successful) ========== reg ========== [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] (No values found) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{BDEADF00-C265-11d0-BCED-00A0C90AB50F}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}] ========== reg ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonceex] (No values found) ========== regfind ========== Searching for "{D80C83FA-041F-C3F6-575E-D43CAA87FACC}" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}] [HKEY_USERS\S-1-5-21-1140580375-1501994220-3611913250-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}] Searching for "{77669FD0-6E68-24CD-3888-E445136BD040}" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}] [HKEY_USERS\S-1-5-21-1140580375-1501994220-3611913250-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}] -=End Of File=- |
|
28.01.2010, 17:06
| #8 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi, leider noch nicht... Was macht der Rechner, ist noch was von Malwareaktivitäten zu erkennen? chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
28.01.2010, 17:14
| #9 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi! Schwer zu sagen. Ich bezeichne es mal als eine Self-fulfulling Prophecy, also eine sich selbst erfüllende Prophezeiung: Solange ich kein gutes Gefühl habe, bzw. denke, etwas könnte faul sein, interepretiere ich natürlich auch jeden Fehler als Malwaregeschuldet. Eben beim Neustart ist die PCMService.exe nicht gestartet (mit dem klassischen Fenster, wo man nur "OK" klicken kann) - aber das hatte ich irgendwann schon mal und jetzt sowieso ausgeschaltet, weil ich den Service (zu einem Acer Programm meine Laptops gehörend spuckt sie bei Virustotal auch nichts aus) eh nicht brauche. Ich fühl mich also vor allem unwohl und hätte gerne mehr Sicherheit, ob alles i.O. ist - klar ist da ein Neuaufsetzen am Besten, aber gibt es nicht noch Scanmöglichenkeiten? Und was sind diese "approved" Shellerweiterungen eigentlich? Danke! |
|
28.01.2010, 19:17
| #10 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi, Erweiterungen für z.B. das Kontextmenü des Explorers, darin haben sich vor Jahren gerne mal Viren versteckt. Hat den Vorteil das sie schlecht zu finden sind und bei jedem Start "mitgestartet" werden... ShellExtensions anzeigen/verwalten http://www.nirsoft.net/utils/shexview.html Ganz unten kannst Du auch ein Languagepack für good-old-german laden... Prüfe ob du die angegebenen CLSID dort findest, Filename etc.... (Oder speichere einfach den Report und poste Ihn hier)... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
29.01.2010, 13:49
| #11 | |
| | Rogue.MalwareDefense, Rootkit und Freund Hi! Ich habe mal ShellExView ausprobiert und das Ergebnis angehängt (als txt). Du kannst ja noch mal selbst gucken, ich habe von den angegebenen: Zitat:
--> Hier der Upload zur TXT: http://www.file-upload.net/download-...13.37.txt.html Geändert von Rattle07 (29.01.2010 um 13:55 Uhr) |
|
29.01.2010, 14:13
| #12 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi, sieht Ok aus... Dann liefen wahrscheinlich einige Programm beim deinstallieren nicht richtig durch oder haben die Einträge hinterlassen... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
29.01.2010, 14:38
| #13 |
| | Rogue.MalwareDefense, Rootkit und Freund Okay, danke! D.h. dahinter verbergen sich keine Viren, richtig? Weitere Scans machen also vermutlich auch keinen Sinn, was? - Bin dann aber nach wie vor überrascht, dass MBAM die Infektion mit MalwareDefense und einem Rootkit so locker gelöscht hat! |
|
30.01.2010, 11:30
| #14 |
| | Rogue.MalwareDefense, Rootkit und Freund Hi, wir können noch ein Tool versuchen, kann ja noch eine neue Variante sein die GMER nicht anzeigt... Du solltest dann allerdings eine Boot-/ oer Rettungs-CD haben... TDSS-Killer Download und Anweisung unter: http://www.trojaner-board.de/82358-t...tml#post640150 Entpacke alle Dateien Start.bat erstellen: Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein: Code:
ATTFilter @ECHO OFF
TDSSKiller.exe -l report.txt -v
DEL %0
- abspeichern unter : Dateityp: alle Dateien - speichere die Datei im Ordner wo auch TDSSKiller.exe steht Doppelklick start.bat TDSSKiller.exe wird gestartet und ein Log erzeugen(report.txt). Wenn TDSSKiller fertig ist poste den Inhalt der report.txt. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
30.01.2010, 12:15
| #15 | |
| | Rogue.MalwareDefense, Rootkit und FreundZitat:
Weil das Programm ggf. meinen PC zerschießt? -Das könntet tatsächlich problematisch werden, weil ich bei meinem Acer Laptop nur ein Programm mitgeliefert bekommen habe, mit dem ich eine sog. BackupCD/DVD machen konnte (ich nehme an, dass es eine Art Image meine Systems ist). Die habe ich auch gemacht, allerdings funktioniert die glaube ich nur im Zusammenhang mit dem Programm, ähnlich wie ein Wiederherstellungspunkt; k.A., ob sie Bootfähig ist. Sollte ich das mal ausprobieren? Oder gibt es andere Programme, mit denen ich ein RettungsCD erstellen könnte, die dann auch wirklich funktionieren? |
|
| Themen zu Rogue.MalwareDefense, Rootkit und Freund |
| antivir, antivir guard, avira, bho, cdburnerxp, combofix, desktop, excel, firefox, google, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, launch, mozilla, plug-in, realtek, registrierungsschlüssel, registry, rogue.installer.gen, rootkit, rootkit.tdss.gen, rundll, senden, software, system, tdsskiller, windows, windows xp |
Linear-Darstellung
