|
Plagegeister aller Art und deren Bekämpfung: malware doctor (idstrf) nimmt kein EndeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.05.2010, 19:13 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | malware doctor (idstrf) nimmt kein Ende Das sollte so i.o. gehen. Malwarebytes hat nur noch Überreste gefunden, SASW fand nur die Objekte die wir mit OTL verschoben hatten. Rechner wieder okay?
__________________ Logfiles bitte immer in CODE-Tags posten |
21.05.2010, 07:55 | #17 |
| malware doctor (idstrf) nimmt kein Ende Hey super,
__________________auch nach dem Neustart konnte zumindest der mbam Quick-scan nix finden. Hätte nicht gedacht, dass jetzt schon alles weg ist. Nachdem gestern abend wieder einige Meldungen aufgetreten waren. Ich hab im übrigen auch von meinem Provider jetzt ne Mail bekommen, dass ein Programm vorgestern auf eher unkonventionelle Weise ins Netz gehen wollte. Ich hoffe, dass das damit auch erledigt ist. Also erstmal ein ganz großes Zwei Fragen hätte ich noch, wo ich doch gerade einen Profi an der Leitung habe: Zum einen ich habe gelesen, dass man auch ohne das System neu aufzusetzen in NTFS umformatieren kann - ist das wirklich vollkommen problemlos? Zum anderen brauch meine Windowsfirewall nach dem Neustart des Rechners immer eine Zeit bis sie aktiv ist, währenddessen kann ich die Firewalloptionen im Sicherheitscenter aufgrund eines "unbekannten Problems" nicht öffnen. Nachdem der Rechner dann vollständig hochgefahren ist, ist sie dann auch aktiv - ich kann mich aber daran erinnern, dass das anfangs anders war. Hat es einfach grundsätzlich damit zu tun, dass der Rechner so langsam hochfährt oder ist es gar ein Sicherheitsrisiko (oder beides). Was kann man ansonsten dagegen unternehmen? Ich hab mich schon mal nach allen möglichen tweak-tools umgeschaut, kann die aber nicht wirklich einschätzen. Tut mir leid, wenn nach gelöstem Problem ein weiterer Wust an Fragen kommt, aber gerade das zweite Problem wusste ich nicht sinnvoll zu googlen. Viele Grüße und nochmal herzlichen Dank für den Aufwand. Ich bin echt froh, dass es so selbstlose Helfer gibt. Christian |
21.05.2010, 12:02 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | malware doctor (idstrf) nimmt kein Ende Konvertier erstmal nach NTFS, evtl erschlagen sich damit die anderen Probleme ebenfalls. Beende so weit wie möglich alle Programme, auch Virenscanner und was onst noch so alles läuft.
__________________Systempartition nach NTFS konvertieren: 1) Start, Ausführen, cmd eintippen und ok Das gleiche musst Du mit Volume D auch machen, dann lautet der Befehl logischerweise Code:
ATTFilter convert d: /fs:ntfs
__________________ |
21.05.2010, 16:28 | #19 |
| malware doctor (idstrf) nimmt kein Ende Fertig, hat ja gar nicht weh getan... Das Konvertieren ging total problemlos. Hat auch gar nicht so lange gedauert, wie ich dafür eingeplant hatte. Leider bleiben die anderen Probleme - langsames hochfahren (hochfahren tut er eigentlich nicht so langsam, nur Windows brauch einige Zeit um ansprechbar zu sein) und/oder die späte Firewall. Vermutlich oute ich mich mal wieder als volltourist, aber kann die Verzögerung am Anfang auch damit zusammenhängen, dass man größere Datenmenge auf dem Desktop bzw. in dem entsprechenden Verzeichnis hat (also nicht nur Verknüpfungen)? Ansonsten wäre ich über einen Tipp für ein gutes Tweak-Programm sehr dankbar. Zumindest läuft meine Festplatte nun nicht mehr in einem Vorkriegsformat. Das dürfte sich bei größeren Dateien vermutlich bemerkbar machen. Danke dafür schon mal. Gruß nach Bremen Christian |
21.05.2010, 20:11 | #20 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | malware doctor (idstrf) nimmt kein Ende Das sind ehrlich gesagt probleme, die ich über eine "Fernbeziehung" wirklich "liebe" Evtl siehst Du noch im Ereignisprotokoll warum Windows da nach dem Hochfahren eine Zeit lang nicht ansprechbar ist. U.U. seh ich das auch in einem frischen OTL-Extras Log Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
22.05.2010, 17:10 | #21 |
| malware doctor (idstrf) nimmt kein Ende Ich habe jetzt erstmal den Desktop entrümpelt. Hat in punkto Problem nichts gebracht, dafür habe ich erstmals wieder das Hintergrundbild erkannt (ich durfte mal wieder feststellen, was für einen ausgesprochen guten Geschmack ich habe. ). Dann habe ich das neue Benutzerprofil probiert. Das war zwar etwas schneller ansprechbar und ich konnte sogar direkt ins Netz gehen. Allerdings rödelte Windows im Hintergrund noch was länger (insgesamt mehr als 3 min nach Profilwahl) und warnte mich dann erst später, dass die Firewall noch down sei. Im Sicherheitscenter wollte es mir erneut keinen direkten Zugriff auf die Firewall-Einstellungen gewähren (aufgrund eines unbekannten Problems). Mit dem Ereignisprotokoll konnte ich nicht wirklich etwas anfangen, so ich denn überhaupt das richtige gefunden habe. (Systemsteuerung > Verwaltung > Leistung?) OTL hänge ich gleich nochmal an, dauert aber noch etwas. Mit Fernbeziehung hast Du gar nicht mal so unrecht (sitze in Kleve...). Gruß Christian |
22.05.2010, 18:00 | #22 |
| malware doctor (idstrf) nimmt kein Ende und hier noch einmal die Extras: Code:
ATTFilter OTL Extras logfile created on: 22.05.2010 18:55:30 - Run 2 OTL by OldTimer - Version 3.2.4.1 Folder = D:\Setups Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.022,00 Mb Total Physical Memory | 616,00 Mb Available Physical Memory | 60,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 76,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 53,21 Gb Total Space | 16,71 Gb Free Space | 31,41% Space Free | Partition Type: NTFS Drive D: | 53,70 Gb Total Space | 4,89 Gb Free Space | 9,11% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: HAJO Current User Name: Christian Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 "1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL -- File not found "C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL -- File not found "C:\Programme\AOL 9.0\waol.exe" = C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0 -- File not found "C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard) "C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe" = C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe:*:Enabled:hpqkygrp.exe -- (Hewlett-Packard) "C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard) "C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe" = C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe -- (Hewlett-Packard Development Co. L.P.) "C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe -- (Hewlett-Packard Development Co. L.P.) "C:\Programme\HP\Digital Imaging\bin\hpqpse.exe" = C:\Programme\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe -- (Hewlett-Packard Development Co. L.P.) "C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\HP Software Update\HPWUCli.exe" = C:\Programme\HP\HP Software Update\HPWUCli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard) "C:\Programme\HP\Digital Imaging\Smart Web Printing\SmartWebPrintExe.exe" = C:\Programme\HP\Digital Imaging\Smart Web Printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe -- (Hewlett-Packard Co.) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\Mozilla Firefox\FIREFOX.EXE" = C:\Programme\Mozilla Firefox\FIREFOX.EXE:*:Enabled:Firefox -- (Mozilla Corporation) "C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player -- () "C:\Programme\brill electronic\_nti45\bin\search.exe" = C:\Programme\brill electronic\_nti45\bin\search.exe:*:Disabled:Verity Publisher -- (Verity, Inc.) "D:\Nostalgie\Quake III Arena an Dominator\quake3.exe" = D:\Nostalgie\Quake III Arena an Dominator\quake3.exe:*:Enabled:quake3 -- () "C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard) "C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe" = C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe:*:Enabled:hpqkygrp.exe -- (Hewlett-Packard) "D:\Nostalgie\Quake3 an Büro (Dip)\QUAKE3.EXE" = D:\Nostalgie\Quake3 an Büro (Dip)\QUAKE3.EXE:*:Enabled:QUAKE3 -- () "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" = C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe:*:Enabled:FRITZ!Box Monitor -- (AVM Berlin) "C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe" = C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe:*:Disabled:Nokia Service Layer Host Process -- (Nokia Corporation) "C:\Programme\Nokia\Nokia Software Updater\nsu_ui_client.exe" = C:\Programme\Nokia\Nokia Software Updater\nsu_ui_client.exe:*:Disabled:Nokia Software Updater -- (Nokia Corporation) "C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software) "C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard) "C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe" = C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe -- (Hewlett-Packard Development Co. L.P.) "C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe -- (Hewlett-Packard Development Co. L.P.) "C:\Programme\HP\Digital Imaging\bin\hpqpse.exe" = C:\Programme\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe -- (Hewlett-Packard Development Co. L.P.) "C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\HP Software Update\HPWUCli.exe" = C:\Programme\HP\HP Software Update\HPWUCli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard) "C:\Programme\HP\Digital Imaging\Smart Web Printing\SmartWebPrintExe.exe" = C:\Programme\HP\Digital Imaging\Smart Web Printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe -- (Hewlett-Packard Co.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00300409-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Proofing Tools Disc 1 "{0289B35E-DC07-4c7a-9710-BBD686EA4B7D}" = Status "{02DFF6B1-1654-411C-8D7B-FD6052EF016F}" = Apple Software Update "{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009 "{08C5A16B-81A4-46EE-9260-AC5342D919B8}" = Zweitausendeins Schachweltmeister "{08CA9554-B5FE-4313-938F-D4A417B81175}" = QuickTime "{09633A5E-3089-41A8-9FF1-382171423C5D}" = PSSWCORE "{0C826C5B-B131-423A-A229-C71B3CACCD6A}" = CDDRV_Installer "{0C973594-7DDF-4BD0-84ED-3517F7622037}" = PC Connectivity Solution "{15B70821-7893-4607-805A-BB80F3EA8279}" = Acer Empowering Technology framework "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{1D100F10-A39C-4970-9A6A-663EF7F9865C}" = ErgoMedia "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86 "{22F761D1-8063-4170-ADF7-2D2F47834CA9}" = VideoToolkit01 "{240DBFE3-F105-48DA-8786-E59E9FD6E4FF}" = Uitdrukkingen en woordenschat (gevorderden) "{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0 "{2614F54E-A828-49FA-93BA-45A3F756BFAA}" = 32 Bit HP CIO Components Installer "{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 14 "{27CC6AB1-E72B-4179-AF1A-EAE507EBAF51}_is1" = ConvertHelper 2.1 "{2AFEAA03-2DFE-4519-A629-EDAB6541ABE9}" = HPSSupply "{3101CB58-3482-4D21-AF1A-7057FC935355}" = KhalInstallWrapper "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3 "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3700194C-C5DD-439A-BE06-A66960CA4C70}" = MSVCSetup "{3D39E775-DDDA-4327-B747-0BDC5F191331}" = Nokia PC Suite "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{45D4F727-43B5-49CD-B474-B9866A8F4FB8}" = Nokia Map Loader "{4A70EF07-7F88-4434-BB61-D1DE8AE93DD4}" = SolutionCenter "{4C271126-C295-4828-A901-5910AE0C258B}" = Cisco Systems VPN Client 5.0.03.0530 "{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}" = Nokia Software Updater "{4DA416AE-6D1C-40D6-BCA3-A65A59DD60FC}" = Acer eDataSecurity Management "{52D02A2B-03D2-4E34-A358-DC5D951FD296}" = Nokia Connectivity Cable Driver "{56582EEA-3AEF-4D84-8B9D-C87A3CD9250F}" = GetDataBack for NTFS "{58E5844B-7CE2-413D-83D1-99294BF6C74F}" = Acer ePower Management "{5943B7F7-678B-477E-9AEE-6E4C6962322B}" = Sparwelt.de Gutschein Alarm "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{60D4F9F1-B828-4048-A5AB-9AA2FD0C4751}" = DJ_AIO_03_F4200_Software "{6365C963-4B72-43F8-8392-2A5441EC2A86}" = DJ_AIO_03_F4220_ProductContext "{63FF21C9-A810-464F-B60A-3111747B1A6D}" = GPBaseService2 "{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder "{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin "{6A28AB0B-22B1-494C-AF61-B386EA1736C0}" = LightScribe 1.4.97.1 "{6CA897D0-67F5-4F75-8261-DC8BFCA6DA42}" = Acer eLock Management "{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder "{76C24F39-B161-498F-BD8B-C64789812D13}_is1" = ConvertXtoDVD 3.3.4.106e "{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec "{818ABC3C-635C-4651-8183-D0E9640B7DD1}" = HP Update "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{8815F011-43AF-4F50-BBD8-D78ED3D6F5B9}" = VR-NetWorld "{8D774B5B-A1D9-45B3-AFB4-3F85604961BC}" = ODF Add-in für Microsoft Word "{8F32C384-D237-4516-9F2B-223E8963A2FB}" = Lager "{8FF6F5CA-4E30-4E3B-B951-204CAAA2716A}" = SmartWebPrinting "{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system "{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system "{91490409-6000-11D3-8CFE-0150048383C9}" = Microsoft Office 2003 Primary Interop Assemblies "{9941F0AA-B903-4AF4-A055-83A9815CC011}" = Sonic Encoders "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9A4D182C-35C7-4791-8484-4304EBC9101A}" = Windows 7 Upgrade Advisor "{9C2D4047-0E40-499a-AC7A-C4B9BB12FE03}" = TrayApp "{9F4EE72A-C5C9-42ad-ABEF-427690843577}" = MarketResearch "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder "{AA2E8A46-B45E-4aea-8A23-88AB57D04523}" = WebReg "{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter "{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder "{AC76BA86-0000-0000-0000-6028747ADE01}" = Adobe Acrobat - Reader 6.0.2 Update "{AC76BA86-0000-7EC8-7489-000000000603}" = Adobe Acrobat and Reader 6.0.3 Update "{AC76BA86-0000-7EC8-7489-000000000604}" = Adobe Acrobat and Reader 6.0.4 Update "{AC76BA86-0000-7EC8-7489-000000000605}" = Adobe Acrobat and Reader 6.0.5 Update "{AC76BA86-0000-7EC8-7489-000000000606}" = Adobe Acrobat and Reader 6.0.6 Update "{AC76BA86-1033-F400-7760-000000000001}" = Adobe Acrobat 6.0.1 Professional - English, Français, Deutsch "{AC76BA86-7AD7-1033-7B44-A81100000003}" = Adobe Reader 8.1.1 "{AC76BA86-7AD7-1033-7B44-A81200000003}" = Adobe Reader 8.1.2 "{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.6 "{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder "{B61A79BE-E94C-42C0-921D-8B7E5217069C}" = F4200 "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player "{B7A5475C-E293-43C7-A959-71B8C5010C4C}" = Mediae Latinitatis Lexicon Minus "{B7B3E9B3-FB14-4927-894B-E9124509AF5A}" = Adobe Flash Player 10 ActiveX "{BDAA9877-C893-434B-96CD-827DE1F7F7B8}" = Spelling en dictee (gevorderden) "{BE8A9C2C-8E41-445B-A746-BEB0B1F992F8}" = DJ_AIO_03_F4200_Software_Min "{BF08AB1C-3357-4f20-A200-8EBB8EF27C59}" = BufferChm "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C3B6AEB1-390C-4792-8677-CD87F8B2C959}" = HP Deskjet F4200 All-In-One Driver Software 11.0 Rel .3 "{C43326F5-F135-4551-8270-7F7ABA0462E1}" = HPProductAssistant "{C88386DE-0D91-4738-9ABD-A991D118A191}" = HiNetRecorder "{C89B5E3A-690F-4CEE-909A-BF869E198B0A}" = Scan "{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware Free Edition "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D16B4BE6-8B10-422f-8034-96D1CA9483B5}" = GPBaseService "{D458BBDC-0363-42E0-8FF9-4736E3CB3CA2}" = Acer Screensaver "{D74CFE48-087F-46E1-80E6-E2950E1A8DCE}" = HP Photosmart Essential 2.5 "{DEE08946-40F0-4890-853E-60A6C3306041}" = Acer ePerformance Management "{E38BC648-883B-4EE5-966C-94C4B7AB3E0B}" = Acer eSettings Management "{E431C518-2EE2-471E-9234-BE995C36D513}" = Acer eDataSecurity Management 1.00.26 "{E535C94A-B87F-4182-BEA8-1E9322078D3E}" = Cards_Calendar_OrderGift_DoMorePlugout "{E9459BCF-0982-498B-ABA7-26C34323493F}" = Citrix Presentation Server Client - Nur Web "{E96B0085-6659-486b-A221-5042A042728D}" = Toolbox "{EF1ADA5A-0B1A-4662-8C55-7475A61D8B65}" = DeviceDiscovery "{EF9E56EE-0243-4BAD-88F4-5E7508AA7D96}" = Destination Component "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}" = Logitech SetPoint "{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth "{F8A5531E-FEB4-4F7C-AF51-342E40FA7A0D}" = F4220_Help "{FB8148DD-C575-4B0A-9F6C-0CFC46937930}" = Opera 10.10 "{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 "504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0) "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "AnyDVD" = AnyDVD "Audiograbber" = Audiograbber 1.83 SE "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "AVMFBoxMonitor" = AVM FRITZ!Box Monitor "CANONBJ_Deinstall_CNMCP49.DLL" = Canon i550 "CCleaner" = CCleaner "CloneDVD2" = CloneDVD2 "CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_1025007F" = HDAUDIO Soft Data Fax Modem with SmartCP "Digitale Bibliothek 3" = Digitale Bibliothek 3 "DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters "DVD Shrink_is1" = DVD Shrink 3.2 "DVDStyler_is1" = DVDStyler v1.7.4 "E8A6D621B6D3FC5D43C68C549D959DE76EEF5D84" = Windows-Treiberpaket - Nokia Modem (06/01/2009 4.1) "ElsterFormular 11.2.0.4074" = ElsterFormular "ePresentation" = Acer ePresentation Management "F779F5541ABD99C95C03B0FD5E3C058B22DA0FF7" = Windows-Treiberpaket - Nokia Modem (06/01/2009 7.01.0.3) "GPL Ghostscript 8.60" = GPL Ghostscript 8.60 "GPL Ghostscript Fonts" = GPL Ghostscript Fonts "GridVista" = Acer GridVista "HijackThis" = HijackThis 2.0.2 "HP Imaging Device Functions" = HP Imaging Device Functions 11.0 "HP Photosmart Essential" = HP Photosmart Essential 3.0 "HP Smart Web Printing" = HP Smart Web Printing 4.60 "HP Solution Center & Imaging Support Tools" = HP Solution Center 13.0 "HPExtendedCapabilities" = HP Customer Participation Program 11.0 "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "InstallShield_{15B70821-7893-4607-805A-BB80F3EA8279}" = Acer Empowering Technology framework "InstallShield_{6CA897D0-67F5-4F75-8261-DC8BFCA6DA42}" = Acer eLock Management "InstallShield_{DEE08946-40F0-4890-853E-60A6C3306041}" = Acer ePerformance Management "InstallShield_{E38BC648-883B-4EE5-966C-94C4B7AB3E0B}" = Acer eSettings Management "KLiteCodecPack_is1" = K-Lite Codec Pack 4.1.7 (Full) "Lexma" = Metzler Lexika - Das Lexikon des Mittelalters "Lit-Link 2" = Lit-Link 2 "Litlink v3" = Litlink v3 "Litlink v3.5" = Litlink v3.5 "LManager" = Launch Manager "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) "Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24) "Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "Nokia Maps Updater_is1" = Nokia Maps Updater 1.0.12 "Nokia PC Suite" = Nokia PC Suite "NVIDIA Drivers" = NVIDIA Drivers "Picasa 3" = Picasa 3 "RealPlayer 6.0" = RealPlayer "ScummVM_is1" = ScummVM 0.12.0 "SecureW2 Client" = SecureW2 Client 3.0.0 "Shop for HP Supplies" = Shop for HP Supplies "SUPER ©" = SUPER © Version 2009.bld.36 (June 10, 2009) "SynTPDeinstKey" = Synaptics Pointing Device Driver "Verbindungsassistent" = Verbindungsassistent "VLC media player" = VideoLAN VLC media player 0.8.6d "Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 "Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7 "Winamp" = Winamp "Windows XP Service Pack" = Windows XP Service Pack 3 "WinRAR archiver" = WinRAR "WordToPDF_is1" = WordToPDF 2.4 "Xvid_is1" = Xvid 1.2.1 final uninstall ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 19.05.2010 11:09:08 | Computer Name = HAJO | Source = nview_info | ID = 11141121 Description = Error - 19.05.2010 18:34:05 | Computer Name = HAJO | Source = Google Update | ID = 20 Description = Error - 19.05.2010 19:34:05 | Computer Name = HAJO | Source = Google Update | ID = 20 Description = Error - 20.05.2010 12:38:10 | Computer Name = HAJO | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x4ebb83bd. Error - 21.05.2010 02:12:27 | Computer Name = HAJO | Source = nview_info | ID = 11141121 Description = Error - 21.05.2010 04:39:21 | Computer Name = HAJO | Source = VSS | ID = 4001 Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich. Error - 21.05.2010 04:50:41 | Computer Name = HAJO | Source = NTBackup | ID = 8001 Description = Ende der Sicherung von 'C:' 'Es wurden Warnungen oder Fehler gefunden.' Überprüfen: Off Modus: Replace Typ: Normal Einzelheiten finden Sie im Sicherungsbericht. Error - 21.05.2010 04:50:42 | Computer Name = HAJO | Source = NTBackup | ID = 8019 Description = Vorgang beenden: Es wurden Warnungen oder Fehler gefunden. Weitere Informationen finden Sie im Sicherungsbericht. Error - 21.05.2010 12:29:19 | Computer Name = HAJO | Source = Google Update | ID = 20 Description = Error - 22.05.2010 10:08:25 | Computer Name = HAJO | Source = nview_info | ID = 11141121 Description = [ System Events ] Error - 20.05.2010 11:34:45 | Computer Name = HAJO | Source = sr | ID = 1 Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume2" ist im Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung wurde angehalten. Error - 20.05.2010 11:37:38 | Computer Name = HAJO | Source = Service Control Manager | ID = 7022 Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß gestartet. Error - 20.05.2010 11:37:52 | Computer Name = HAJO | Source = ipnathlp | ID = 32003 Description = Der Übersetzer für Netzwerkadressen (NAT) konnte keine Anfrage des Übersetzungsmoduls des Kernelmodus stellen. Möglicherweise liegen eine falsche Konfiguration, unzureichende Ressourcen oder ein interner Fehler vor. Die Daten enthalten den Fehlercode. Error - 21.05.2010 02:16:30 | Computer Name = HAJO | Source = Service Control Manager | ID = 7022 Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß gestartet. Error - 21.05.2010 10:05:57 | Computer Name = HAJO | Source = Service Control Manager | ID = 7022 Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß gestartet. Error - 21.05.2010 11:16:19 | Computer Name = HAJO | Source = Service Control Manager | ID = 7022 Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß gestartet. Error - 22.05.2010 10:13:04 | Computer Name = HAJO | Source = Service Control Manager | ID = 7022 Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß gestartet. Error - 22.05.2010 10:32:08 | Computer Name = HAJO | Source = Service Control Manager | ID = 7022 Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß gestartet. Error - 22.05.2010 11:27:29 | Computer Name = HAJO | Source = Service Control Manager | ID = 7022 Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß gestartet. Error - 22.05.2010 11:33:08 | Computer Name = HAJO | Source = Service Control Manager | ID = 7022 Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß gestartet. < End of report > Danke auch für die Tipps, die Ferndiagnose ist sicher etwas ermüdend. Wünsche schon mal einen schönen Abend. Gruß Christian |
23.05.2010, 21:02 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | malware doctor (idstrf) nimmt kein Ende Benutzt Du das Tool NTBackup, das Sicherungsprogramm was bei Windows schon dabei sit? Ich seh da einige auffällige Fehler...ob die aber was mit der Windows-Firewall zu tun haben, kann ich so nicht sagen.
__________________ Logfiles bitte immer in CODE-Tags posten |
24.05.2010, 14:11 | #24 |
| malware doctor (idstrf) nimmt kein Ende Hallo Arne und frohe Pfingsten, es mag durchaus sein, dass NT-backup im Hintergrund läuft. Allerdings bin ich mir dessen nicht bewusst und ich kann mich nicht entsinnen, selbst Einstellungen vorgenommen zu haben. Außerdem müsste ich dann vermutlich doch irgendwo auf dem Rechner mehr oder weniger große backup-Dateien haben (oder nicht?). Auch die habe ich nicht entdecken können. Als ich die Sicherung über das Startmenü aufrief, öffnete sich auch erst einmal der Assistent (zwar kann man die Sicherung - glaube ich - auch so einstellen, dass sich immer der Assisten öffnet, aber das wirkte alles relativ jungfräulich auf mich). Ich hoffe, meine Aussagen sind nicht zu kryptisch. Woran könnte ich denn sonst noch erkennen, ob die läuft? Falls eine weitere Analyse deinerseits aus der Ferne zu schwierig ist, dann sag bescheid. Ich danke Die auf jeden Fall nochmal, dass Du Dich über das eigentliche Problem hinaus mit meinen Mätzchen befasst. Beste Grüße Christian |
Themen zu malware doctor (idstrf) nimmt kein Ende |
antivir, antivir guard, avgntflt.sys, avira, bho, browser, browseui preloader, combofix, desktop, device driver, druck, einstellungen, excel, exe.exe, firefox, firefox.exe, fontcache, gupdate, helper, highjackthis, hijack, hijackthis, hkus\s-1-5-18, internet browser, malware, media center, mozilla, opera.exe, problem, realtek, registry, rkill, rundll, scan, shell32.dll, skype.exe, software, suchlauf, system, vlc media player, windows xp, wscript.exe |