Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.01.2010, 17:11   #1
schlumpf
 
Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle? - Standard

Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle?



Mein System zickte vorige Tage etwas rum. So gut wie alle Programme aus dem Trybar (Zonealarm, Avira Antivir usw.) verschwanden bei Mouseover. Ich konnte dann beide Tools auch nicht mehr manuell starten. Windows abgesicherter Modus startete immer neu ohne hochzufahren. Systemwiderherstellung weigerte sich ältere Zustände wiederherzustellen. Also mal die aktuelle c't desinfec't mmit allen 4 Scannern laufen lassen. Ich weiß jetzt nicht mehr genau, aber ich denke nichts gefunden. Gegoogled und Hinweise auf Hijack this und combofix gefunden. Beide Programme lassen sich nicht starten. Auch nicht nach Umbenennung. Auch wird der Webbrowser stets geschlossen, wenn ich "Hijackthis" eingebe. Also kam der Verdacht nach W32/Bagle auf. Nach weiteren Versuchen habe ich dann C Platt gemacht und Windows zähneknirschend neu installiert. Ich habe auch gleich als erstes wieder ZA und Avira (aktuell) installiert. Nach einigen weiteren Installationen fuhr der Rechner unmotiviert runter und wieder hoch und die Icons im Traybar verschwanden wieder bei Mouseover bzw. erschienen erst gar nicht. Wieder kann ich kein Diagnosetool starten. Ich bin etwas verwundert, weil bis zu dem Punkt, an dem der Rechner während der Installation neu startete, lief alles und das Programm, welches ich gerade installierte eigentlich vertrauenswürdig ist. Außerdem irritiert mich, daß Avira nicht gemeckert hat. Und dies ja auch nicht bei meinem vorherigen System, das ich platt gemacht habe. Avira sollte mich doch eigentlich schützen. Ich habe jetzt mal "Resolve 1.07, Datenstand 1.13" für W32/Bagle von sophos laufen lassen: kein Fund. Da HijackThis nicht läuft, habe ich "Silent Runners.vbs", revision 60 laufen lassen. Kann da aber nichts verdächtiges finden.
Was kann ich jetzt machen? Irgendwas läuft auf dem System ja wohl schief, aber kein Tool findet was.
Code:
ATTFilter
"Silent Runners.vbs", revision 60, http://www.silentrunners.org/

Operating System: Windows XP SP3

Output limited to non-default values, except where indicated by "{++}"





Startup items buried in registry:

---------------------------------



HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"H/PC Connection Agent" = ""D:\tools\activesync\Wcescomm.exe"" [null data]



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"avgnt" = ""E:\tools\Avira\Avira\AntiVir Desktop\avgnt.exe" /min" ["Avira GmbH"]

"ZoneAlarm Client" = ""D:\zip\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]

"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun" ["Advanced Micro Devices, Inc."]

"SystemTray" = "SysTray.Exe" [MS]

"Adobe Reader Speed Launcher" = ""D:\tools\acrobat\reader9\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

"Adobe ARM" = ""C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"" ["Adobe Systems Incorporated"]

"RemoteControl" = "E:\tools\powerdvd\PDVDServ.exe" ["Cyberlink Corp."]

"(Default)" = "(empty string)" [file not found]

"ISTray" = ""E:\tools\Spyware Doctor\pctsTray.exe"" ["PC Tools"]



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\



{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub"

  -> {HKLM...CLSID} = "Adobe PDF Link Helper"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"]



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\



"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]



"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]



"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"

  -> {HKLM...CLSID} = "History Band"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]



"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

  -> {HKLM...CLSID} = "Portable Media Devices Menu"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS]



"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "E:\tools\Avira\Avira\AntiVir Desktop\shlext.dll" ["Avira GmbH"]



"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "D:\zip\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]



"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"

  -> {HKLM...CLSID} = "SimpleShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" ["Advanced Micro Devices, Inc."]



"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook File Icon Extension"

                   \InProcServer32\(Default) = "D:\office07\Office12\OLKFSTUB.DLL" [MS]



"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

  -> {HKLM...CLSID} = "Microsoft Office Outlook"

                   \InProcServer32\(Default) = "D:\office07\Office12\MLSHEXT.DLL" [MS]



"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "D:\office07\Office12\msohevi.dll" [MS]



"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"

  -> {HKLM...CLSID} = "Microsoft Office Metadata Handler"

                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]



"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"

  -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"

                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]



"{49BF5420-FA7F-11cf-8011-00A0C90A8F78}" = "Mobile Device"

  -> {HKLM...CLSID} = "Mobiles Gerät"

                   \InProcServer32\(Default) = "D:\tools\ACTIVE~1\Wcesview.dll" [MS]



"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "D:\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]



"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "D:\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]



"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "D:\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]



"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "D:\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]



"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "D:\tools\packer\winrar\rarext.dll" [null data]



"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Context Menu Shell Extension"

  -> {HKLM...CLSID} = "WinAceContext Menu Extension"

                   \InProcServer32\(Default) = "D:\tools\packer\winace\arcext.dll" ["e-merge GmbH"]



"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 DragDrop Shell Extension"

  -> {HKLM...CLSID} = "WinAceDrag-Drop Extension"

                   \InProcServer32\(Default) = "D:\tools\packer\winace\arcext.dll" ["e-merge GmbH"]



"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Context Menu Shell Extension"

  -> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"

                   \InProcServer32\(Default) = "D:\tools\packer\winace\arcext.dll" ["e-merge GmbH"]



"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Property Sheet Shell Extension"

  -> {HKLM...CLSID} = "WinAceProperty Sheet Extension"

                   \InProcServer32\(Default) = "D:\tools\packer\winace\arcext.dll" ["e-merge GmbH"]



"{8932AEFE-9DB6-4f43-AFB2-5682F55E773A}" = "VPCHostCopyHook"

  -> {HKLM...CLSID} = "VPCHostCopyHook"

                   \InProcServer32\(Default) = "D:\virtualpc2004\VPCShExH.DLL" [MS]



HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]



HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\



<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"

  -> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"

                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]



HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\



<<!>> ms-help\CLSID = "{314111c7-a502-11d2-bbca-00c04f8ec294}"

  -> {HKLM...CLSID} = "HxProtocol Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll" [MS]



HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\



SDContextExt\(Default) = "{70F8E90E-353A-47AB-B297-C576345EE693}"

  -> {HKLM...CLSID} = "PC Tools Context Menu Extension"

                   \InProcServer32\(Default) = "E:\tools\SPYWAR~1\SDCONT~1.DLL" ["PC Tools"]



Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "E:\tools\Avira\Avira\AntiVir Desktop\shlext.dll" ["Avira GmbH"]



WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "D:\tools\packer\winrar\rarext.dll" [null data]



WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "D:\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]



ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"

  -> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"

                   \InProcServer32\(Default) = "D:\tools\packer\winace\arcext.dll" ["e-merge GmbH"]



ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "D:\zip\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]



HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\



WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "D:\tools\packer\winrar\rarext.dll" [null data]



WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "D:\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]



ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"

  -> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"

                   \InProcServer32\(Default) = "D:\tools\packer\winace\arcext.dll" ["e-merge GmbH"]



HKLM\SOFTWARE\Classes\Directory\shellex\CopyHookHandlers\



VPCHostCopyHook\(Default) = "{8932AEFE-9DB6-4f43-AFB2-5682F55E773A}"

  -> {HKLM...CLSID} = "VPCHostCopyHook"

                   \InProcServer32\(Default) = "D:\virtualpc2004\VPCShExH.DLL" [MS]



HKLM\SOFTWARE\Classes\Directory\shellex\DragDropHandlers\



WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "D:\tools\packer\winrar\rarext.dll" [null data]



WinZip\(Default) = "{E0D79305-84BE-11CE-9641-444553540000}"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "D:\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]



ZFDragDrop\(Default) = "{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}"

  -> {HKLM...CLSID} = "WinAceDrag-Drop Extension"

                   \InProcServer32\(Default) = "D:\tools\packer\winace\arcext.dll" ["e-merge GmbH"]



HKLM\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\



ACE\(Default) = "{5E2121EE-0300-11D4-8D3B-444553540000}"

  -> {HKLM...CLSID} = "SimpleShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" ["Advanced Micro Devices, Inc."]



HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\



{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]



HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\



SDContextExt\(Default) = "{70F8E90E-353A-47AB-B297-C576345EE693}"

  -> {HKLM...CLSID} = "PC Tools Context Menu Extension"

                   \InProcServer32\(Default) = "E:\tools\SPYWAR~1\SDCONT~1.DLL" ["PC Tools"]



Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "E:\tools\Avira\Avira\AntiVir Desktop\shlext.dll" ["Avira GmbH"]



WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "D:\tools\packer\winrar\rarext.dll" [null data]



WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "D:\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]



ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "D:\zip\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]



HKLM\SOFTWARE\Classes\Folder\shellex\DragDropHandlers\



WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "D:\tools\packer\winrar\rarext.dll" [null data]



WinZip\(Default) = "{E0D79305-84BE-11CE-9641-444553540000}"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "D:\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]



ZFDragDrop\(Default) = "{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}"

  -> {HKLM...CLSID} = "WinAceDrag-Drop Extension"

                   \InProcServer32\(Default) = "D:\tools\packer\winace\arcext.dll" ["e-merge GmbH"]





Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------



Note: detected settings may not have any effect.



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\



"EnableLUA" = (REG_DWORD) dword:0x00000000

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

User Account Control: Run All Administrators In Admin Approval Mode}





Active Desktop and Wallpaper:

-----------------------------



Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState





Enabled Screen Saver:

---------------------



HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]





Windows Portable Device AutoPlay Handlers

-----------------------------------------



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\



PDVDPlayCDAudioOnArrival\

"Provider" = "PowerDVD"

"InvokeProgID" = "AudioCD"

"InvokeVerb" = "PlayWithPowerDVD"

HKLM\SOFTWARE\Classes\AudioCD\shell\PlayWithPowerDVD\Command\(Default) = ""E:\tools\powerdvd\PowerDVD.exe" "%L"" ["CyberLink Corp."]



PDVDPlayDVDMovieOnArrival\

"Provider" = "PowerDVD"

"InvokeProgID" = "DVD"

"InvokeVerb" = "PlayWithPowerDVD"

HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = ""E:\tools\powerdvd\PowerDVD.exe" "%l"" ["CyberLink Corp."]



PDVDPlayVCDMovieOnArrival\

"Provider" = "PowerDVD"

"InvokeProgID" = "VCD"

"InvokeVerb" = "PlayWithPowerDVD"

HKLM\SOFTWARE\Classes\VCD\shell\PlayWithPowerDVD\Command\(Default) = ""E:\tools\powerdvd\PowerDVD.exe" "%l"" ["CyberLink Corp."]





Startup items in "florian" & "All Users" startup folders:

---------------------------------------------------------



C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

"Monitor Apache Servers" -> shortcut to: "E:\tools\apache\bin\ApacheMonitor.exe" ["Apache Software Foundation"]

"Monitor Switcher" -> shortcut to: "E:\tools\Monitor Switcher\MonitorSwitcher.exe" [null data]





Winsock2 Service Provider DLLs:

-------------------------------



Namespace Service Providers



HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]



Transport Service Providers



HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05





Toolbars, Explorer Bars, Extensions:

------------------------------------



Explorer Bars



HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\



HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "D:\office07\Office12\REFIEBAR.DLL" [MS]



Extensions (Tools menu items, main toolbar menu buttons)



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\

"ButtonText" = "Create Mobile Favorite"

"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"

  -> {HKLM...CLSID} = "Create Mobile Favorite"

                   \InProcServer32\(Default) = "D:\tools\ACTIVE~1\INetRepl.dll" [MS]



{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\

"MenuText" = "Mobilen Favoriten erstellen..."

"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"

  -> {HKLM...CLSID} = "Create Mobile Favorite"

                   \InProcServer32\(Default) = "D:\tools\ACTIVE~1\INetRepl.dll" [MS]



{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Research"



{E2E2DD38-D088-4134-82B7-F2BA38496583}\

"MenuText" = "@xpsp3res.dll,-20001"

"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]



{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]





Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------



Apache2.2, Apache2.2, ""E:\tools\apache\bin\httpd.exe" -k runservice" ["Apache Software Foundation"]

ProtexisLicensing, ProtexisLicensing, "C:\WINDOWS\system32\PSIService.exe" [null data]

USBMate, USBMate, "E:\tools\usv\usbmate.exe" ["Mega Corp."]





Print Monitors:

---------------



HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

FPR6:\Driver = "fpmon6.dll" ["FinePrint Software, LLC"]

HP Master Monitor\Driver = "HPBMMON.DLL" ["Hewlett-Packard"]





---------- (launch time: 2010-01-28 15:56:41)

<<!>>: Suspicious data at a malware launch point.



+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points, use the -supp parameter or answer "No" at the

  first message box and "Yes" at the second message box.

---------- (total run time: 55 seconds, including 12 seconds for message boxes)
         

Alt 28.01.2010, 21:12   #2
KarlKarl
/// Helfer-Team
 
Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle? - Standard

Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle?



Hi,

Du lässt die ct Desinfect CD durchlaufen und weißt dann nicht mehr so genau was sie gefunden hat, eigentlich noch nicht einmal genau, ob sie was gefunden hat. Dafür hast Du aber auf ihr einen vierten Scanner gefunden von dem noch nicht einmal die Redaktion der ct was weiß.

Du installierst ein Programm das "eigentlich vertrauenswürdig" aber nicht "vertrauenswürdig" ist.

Einfach noch mal neu anfangen und diesmal nur Sachen installieren die "vertrauenswürdig" sind.

Tipp: Software aus Emule, Torrent, Rapidshare, usw. ist nicht vertrauenswürdig.
__________________


Alt 28.01.2010, 21:21   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle? - Icon19

Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle?



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Du lässt die ct Desinfect CD durchlaufen und weißt dann nicht mehr so genau was sie gefunden hat, eigentlich noch nicht einmal genau, ob sie was gefunden hat. Dafür hast Du aber auf ihr einen vierten Scanner gefunden von dem noch nicht einmal die Redaktion der ct was weiß.
Du installierst ein Programm das "eigentlich vertrauenswürdig" aber nicht "vertrauenswürdig" ist.
"Epic Fail" würde ich sagen
__________________
__________________

Alt 28.01.2010, 21:30   #4
schlumpf
 
Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle? - Standard

Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle?



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Hi,

Du lässt die ct Desinfect CD durchlaufen und weißt dann nicht mehr so genau was sie gefunden hat, eigentlich noch nicht einmal genau, ob sie was gefunden hat. Dafür hast Du aber auf ihr einen vierten Scanner gefunden von dem noch nicht einmal die Redaktion der ct was weiß.

Du installierst ein Programm das "eigentlich vertrauenswürdig" aber nicht "vertrauenswürdig" ist.

Einfach noch mal neu anfangen und diesmal nur Sachen installieren die "vertrauenswürdig" sind.

Tipp: Software aus Emule, Torrent, Rapidshare, usw. ist nicht vertrauenswürdig.
Ja, es sind nur drei. Ist das wichtig für irgendwas? Und ja, ich habe den Bericht zu schnell weggeklickt gehabt. "eigentlich vertrauenswürdig" soll besagen, daß ich denke, es ist sicher aber kein Programm, egal wo es her stammt wirklichvertrauenswürdig sein kann, denn auch große Firmen haben schon Viren auf ihren CDs ausgeteilt.

Und helfen tut mir das alles nicht weiter, denn die Frage bleibt ja, warum Avira auf dem neuen System dann zum zweiten mal versagte und nichts gefunden hat während den Installationsarbeiten. Mehr als Schützen kann man sich ja nicht. Und jetzt noch mal installieren und dann wieder auf die Nase fallen ist nicht so ganz Sinn der Sache.

Antwort

Themen zu Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle?
adobe, alle programme, antivir, avg, avgnt, avgnt.exe, avira, combofix, computer, desinfec't, desktop, einstellungen, explorer, finds, firewall, gpedit.msc, helper, hijack, hijack this, hijackthis, internet, internet explorer, malware, monitor, registry, saver, scan, shortcut, software, spyware, starten., system, windows, windows xp




Ähnliche Themen: Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle?


  1. Avast Web-Schutz blockiert 64-up.to kann aber den Auslöser nicht finden
    Log-Analyse und Auswertung - 01.08.2015 (3)
  2. Kann weder Firewall noch Virenscanner installieren
    Plagegeister aller Art und deren Bekämpfung - 25.05.2015 (9)
  3. Windows 8.1 Pro Downloads laufen mit normaler Downloadgeschwindigkeit bis ca. 99%, werden dann aber nicht beendet
    Log-Analyse und Auswertung - 17.02.2015 (6)
  4. E-Mail Account verschickt eigenmächtig E-Mails, Virenscanner kann nichts finden (Norton)
    Log-Analyse und Auswertung - 15.04.2014 (16)
  5. ! Virus! Ich weis das er da ist. Aber kann ihn nicht finden.
    Plagegeister aller Art und deren Bekämpfung - 21.04.2011 (5)
  6. Malware, kann aber nicht wirklich welche finden
    Plagegeister aller Art und deren Bekämpfung - 06.12.2010 (14)
  7. Infektion von Malwarebytes gezeigt, kann aber nichts mit Avira finden
    Log-Analyse und Auswertung - 17.05.2010 (6)
  8. Hab etwas aber ich kann nichts finden
    Log-Analyse und Auswertung - 31.03.2009 (7)
  9. Firewall und Virenscanner werden deaktiviert
    Log-Analyse und Auswertung - 02.03.2009 (0)
  10. spybot meldet eintrag in registry, kann aber keinen ursprung ausmachen
    Plagegeister aller Art und deren Bekämpfung - 20.12.2008 (1)
  11. Virus über Programmdownload eingefangen, kann ihn aber nicht finden
    Mülltonne - 28.09.2008 (0)
  12. Win32.Worm.P2P.Puce.G kann keinen Virenscanner mehr installieren
    Mülltonne - 10.11.2007 (0)
  13. Email-Worm.Win32.Bagle.pac - alt aber noch resistent! Was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 23.11.2005 (12)
  14. Trojaner.... kann ihn aber nicht finden, bzw. löschen!
    Log-Analyse und Auswertung - 22.11.2005 (3)
  15. viele finden was aber kann ihn nicht entfernen: tr/dldr.dyfuca.db
    Log-Analyse und Auswertung - 06.03.2005 (1)
  16. Hijack-Logfile Ich kann nix finden, aber eindeutige Anzeichen
    Log-Analyse und Auswertung - 19.09.2004 (8)
  17. Programm kann nicht beendet werden
    Alles rund um Windows - 17.10.2003 (1)

Zum Thema Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle? - Mein System zickte vorige Tage etwas rum. So gut wie alle Programme aus dem Trybar (Zonealarm, Avira Antivir usw.) verschwanden bei Mouseover. Ich konnte dann beide Tools auch nicht mehr - Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle?...
Archiv
Du betrachtest: Firewall, Virenscanner werden beendet, kann aber keinen Grund finden. W32/Bagle? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.