|
Log-Analyse und Auswertung: Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
15.06.2010, 15:06 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus
__________________ Logfiles bitte immer in CODE-Tags posten |
15.06.2010, 17:42 | #17 |
| Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Hier nun die Logs mit GMER:
__________________GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-06-15 18:35:25 Windows 5.1.2600 Service Pack 3 Running: GMER - Rootkit Scanner.exe; Driver: C:\DOKUME~1\MP\LOKALE~1\Temp\kwlorfow.sys ---- System - GMER 1.0.15 ---- SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF750C87E] SSDT F7A6DBAC ZwCreateThread SSDT F7A6DB98 ZwOpenProcess SSDT F7A6DB9D ZwOpenThread SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF750CC10] SSDT F7A6DBA7 ZwTerminateProcess SSDT F7A6DBA2 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6DC6360, 0x20469D, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\Dokumente und Einstellungen\MP\Desktop\GMER - Rootkit Scanner.exe[596] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B60000 .text C:\Dokumente und Einstellungen\MP\Desktop\GMER - Rootkit Scanner.exe[596] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 00B80000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00A00000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 00A20000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] ADVAPI32.dll!CryptDeriveKey 77DB9FFD 5 Bytes JMP 00DF0000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] ADVAPI32.dll!CryptImportKey 77DBA1F1 5 Bytes JMP 00DB0000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] ADVAPI32.dll!CryptGenKey 77DE1849 5 Bytes JMP 00DD0000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] USER32.dll!PeekMessageW 7E36929B 5 Bytes JMP 00D50000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] ws2_32.dll!send 71A14C27 5 Bytes JMP 00D70000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!CommitUrlCacheEntryA 408C0F78 5 Bytes JMP 00CD0000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!InternetReadFile 408C654B 5 Bytes JMP 00C50000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!HttpAddRequestHeadersA 408CCF46 5 Bytes JMP 00D10000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!InternetConnectA 408CDEAE 5 Bytes JMP 00C70000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!HttpSendRequestW 408CFABE 5 Bytes JMP 00CB0000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!HttpAddRequestHeadersW 408CFE49 5 Bytes JMP 00D30000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!HttpSendRequestA 408DEE89 5 Bytes JMP 00C90000 .text C:\Programme\Internet Explorer\IEXPLORE.EXE[1148] wininet.dll!CommitUrlCacheEntryW 408E3085 5 Bytes JMP 00CF0000 .text C:\WINDOWS\Explorer.EXE[1724] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00D00000 .text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 02E70000 .text C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe[3140] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00A40000 .text C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe[3140] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 00A60000 .text D:\Programme\Browser MOUSE\mouse32a.exe[3148] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00C20000 .text D:\Programme\Browser MOUSE\mouse32a.exe[3148] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 00C40000 .text D:\Programme\Avira\AntiVir Workstation\avgnt.exe[3156] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 01140000 .text D:\Programme\Avira\AntiVir Workstation\avgnt.exe[3156] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 01160000 .text D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe[3172] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00A20000 .text D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe[3172] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 00A40000 .text C:\Programme\QuickTime\qttask.exe[3304] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 003F0000 .text C:\Programme\QuickTime\qttask.exe[3304] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 00B00000 .text D:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[3376] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00D40000 .text D:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[3376] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 00D60000 ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) Device ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- |
15.06.2010, 17:53 | #18 |
| Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Und hier nun der Logfile von OSAM. Ich hoffe, du kannst daraus nun eine Lösung für meine Probleme finden... nochmals ganz, ganz lieben DANK für die Mühe, die ich dir mache...
__________________Ich kann jetzt den Virenscanner und die Firewall wieder aktivieren, richtig? LG Pauline OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 18:50:02 on 15.06.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.3 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Boot Execute] -----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )----- "BootExecute" - ? - C:\WINDOWS\system32\lsdelete.exe (File found, but it contains no detailed information) [Common] -----( %SystemRoot%\Tasks )----- "1-Click Maintenance.job" - "TuneUp Software GmbH" - D:\Programme\TuneUp Utilities 2008\OneClick.exe "1-Klick-Wartung.job" - ? - D:\Programme\TuneUp Utilities 2008\OneClickStarter.exe (File found, but it contains no detailed information) [Control Panel Objects] -----( %SystemRoot%\system32 )----- "alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl (File signed by Microsoft | File found, but it contains no detailed information) "CMDVDPak.cpl" - "Sonic Solutions" - C:\WINDOWS\system32\CMDVDPak.cpl "ImageDrive.cpl" - "Nero AG" - C:\WINDOWS\system32\ImageDrive.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "mbllnk.cpl" - "AvantGo, Inc." - C:\WINDOWS\system32\mbllnk.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Adobe Version Cue CS3" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.cpl "AntiVir PersonalEdition Classic Konfiguration" - ? - D:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found) "Avira AntiVir Professional " - "Avira GmbH" - D:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl "NokiaConnectionManager" - "Nokia" - C:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL "QuickTime" - "Apple Computer, Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "AVM FRITZ!web PPP over ISDN" (NETFRITZ) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS "catchme" (catchme) - ? - C:\DOKUME~1\MP\LOKALE~1\Temp\catchme.sys (File not found) "cdudf_xp" (cdudf_xp) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\cdudf_xp.sys "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "drvmcdb" (drvmcdb) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\drvmcdb.sys "DSL-Manager Service" (TSMPacket) - ? - C:\WINDOWS\System32\DRIVERS\tsmpkt.sys (File not found) "dsltestSp5 NDIS Protocol Driver" (dsltestSp5) - ? - C:\WINDOWS\System32\Drivers\dsltestSp5.sys (File not found) "dvd_2K" (dvd_2K) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\dvd_2K.sys "ElbyCDFL" (ElbyCDFL) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\ElbyCDFL.sys "ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys "GearAspiWDM" (GEARAspiWDM) - "GEAR Software Inc." - C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "imagedrv" (imagedrv) - "Ahead Software AG" - C:\WINDOWS\System32\Drivers\imagedrv.sys "imagesrv" (imagesrv) - "Ahead Software AG" - C:\WINDOWS\System32\DRIVERS\imagesrv.sys "kwlorfow" (kwlorfow) - ? - C:\DOKUME~1\MP\LOKALE~1\Temp\kwlorfow.sys (Hidden registry entry, rootkit activity | File not found) "Lbd" (Lbd) - "Lavasoft AB" - C:\WINDOWS\System32\DRIVERS\Lbd.sys "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MIINPazX NDIS Protocol Driver" (MIINPazX) - "Deutsche Telekom AG, Marmiko IT-Solutions GmbH" - C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS "mmc_2K" (mmc_2K) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\mmc_2K.sys "MTOnlPktAlyX NDIS Protocol Driver" (MTOnlPktAlyX) - "Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH" - D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS "PCANDIS5" (PCANDIS5) - ? - C:\PROGRA~1\T-Online\DSL-MA~1\PCANDIS5.SYS (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PPDevice" (ppsio2) - ? - C:\WINDOWS\system32\drivers\ppsio2.sys "PQNTDrv" (PQNTDrv) - ? - C:\WINDOWS\system32\drivers\PQNTDrv.sys (File found, but it contains no detailed information) "pwd_2k" (pwd_2k) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\pwd_2k.sys "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "RxFilter" (RxFilter) - "Sonic Solutions" - C:\WINDOWS\System32\DRIVERS\RxFilter.sys "ssmdrv" (ssmdrv) - "AVIRA GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys (File found, but it contains no detailed information) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - ? - d:\Programme\7-Zip\7-zip.dll {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - D:\Programme\Acrobat 8.0\Acrobat Elements\ContextMenu.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {92A94EB1-16E9-44D8-A98A-9C3CCE9B25E8} "FILEminimizer Shell Extension" - ? - d:\Programme\FILEminimizer Suite\FILEMShell.dll (File found, but it contains no detailed information) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Computer, Inc." - D:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\msohev.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\OLKFSTUB.DLL {5E44E225-A408-11CF-B581-008029601108} "Roxio DragToDisc Shell Extension" - "Sonic Solutions" - D:\Programme\Roxio\WinOnCD 8\Drag to Disc\Shellex.dll {0FB82570-BB2D-23D3-8D3B-AC2F34F1FA3C} "RXDCExtShlExt extension" - ? - D:\Programme\Roxio\WinOnCD 8\Virtual Drive\DC_ShellExt.dll (File found, but it contains no detailed information) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software GmbH" - D:\PROGRA~1\TUNEUP~3\SDShelEx-win32.dll {44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software GmbH" - C:\WINDOWS\System32\uxtuneup.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - D:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information) {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - D:\PROGRA~1\WINZIP\WZSHLSTB.DLL [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "Yahoo! Toolbar mit Pop-Up-Blocker" - "Yahoo! Inc." - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {E601996F-E400-41CA-804B-CD6373A7EEE2} "ClsidExtension" - "kikin" - C:\Programme\kikin\ie_kikin.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} "Contribute Toolbar" - "Adobe Systems Incorporated." - D:\Programme\Adobe Contribute CS3\contributeieplugin.dll <binary data> "Yahoo! Toolbar mit Pop-Up-Blocker" - "Yahoo! Inc." - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {074C1DC5-9320-4A9A-947D-C042949C6216} "ContributeBHO Class" - "Adobe Systems Incorporated." - D:\Programme\Adobe Contribute CS3\contributeieplugin.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {E601996F-E400-41CA-804B-CD6373A7EEE2} "kikin Plugin" - "kikin" - C:\Programme\kikin\ie_kikin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\MP\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "Getdo" - ? - rundll32.exe "C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat"" (File found, but it contains no detailed information) "TomTomHOME.exe" - "TomTom" - "d:\Programme\TomTom HOME 2\TomTomHOMERunner.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe Photo Downloader" - "Adobe Systems Incorporated" - "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" "avgnt" - "Avira GmbH" - "D:\Programme\Avira\AntiVir Workstation\avgnt.exe" /min "FinePrint Dispatcher v5" - "FinePrint Software, LLC" - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe "FLMOFFICE4DMOUSE" - ? - D:\Programme\Browser MOUSE\mouse32a.exe "QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll "Canon BJNP Port" - "CANON INC." - C:\WINDOWS\system32\CNMNPPM.DLL "FPR5:" - "FinePrint Software, LLC" - C:\WINDOWS\system32\fpmon5.dll "FRITZ!fax Color Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\FritzColorPort.dll "FRITZ!fax Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\FritzPort.dll "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##" (Bonjour Service) - "Apple Computer, Inc." - C:\Programme\Bonjour\mDNSResponder.exe ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "AAV UpdateService" (AAV UpdateService) - ? - D:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe "Adobe LM Service" (Adobe LM Service) - "Adobe Systems" - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe "Adobe Version Cue CS3 {de_DE} " (Adobe Version Cue CS3) - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Professional Guard" (AntiVirService) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\avguard.exe "Avira AntiVir Professional MailGuard" (AntiVirMailService) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\avmailc.exe "Avira AntiVir Professional MailGuard Hilfsdienst" (AVEService) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\avesvc.exe "Avira AntiVir Professional Planer" (AntiVirScheduler) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\sched.exe "Avira AntiVir Professional WebGuard" (antivirwebservice) - "Avira GmbH" - D:\Programme\Avira\AntiVir Workstation\AVWEBGRD.EXE "AVM FRITZ!web Routing Service" (de_serv) - "AVM Berlin" - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe "FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe "iPodService" (iPodService) - "Apple Computer, Inc." - C:\Programme\iPod\bin\iPodService.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft" - D:\Programme\Lavasoft\Ad-Aware\AAWService.exe "LiveShare P2P Server" (RoxLiveShare) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe "NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe "NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "PLFlash DeviceIoControl Service" (PLFlash DeviceIoControl Service) - "Prolific Technology Inc." - C:\WINDOWS\system32\IoctlSvc.exe "Roxio Hard Drive Watcher" (RoxWatch) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe "RoxMediaDB" (RoxMediaDB) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe "RoxUpnpRenderer" (RoxUPnPRenderer) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe "RoxUpnpServer" (RoxUpnpServer) - "Sonic Solutions" - D:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe "ServiceLayer" (ServiceLayer) - "Nokia" - C:\Programme\PC Connectivity Solution\ServiceLayer.exe "TomTomHOMEService" (TomTomHOMEService) - "TomTom" - d:\Programme\TomTom HOME 2\TomTomHOMEService.exe "TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software GmbH" - C:\WINDOWS\System32\uxtuneup.dll "TuneUp Drive Defrag-Dienst" (TuneUp.Defrag) - "TuneUp Software GmbH" - C:\WINDOWS\System32\TuneUpDefragService.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - ? - WgaLogon.dll (File not found) [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Computer, Inc." - C:\Programme\Bonjour\mdnsNSP.dll -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )----- "AVSDA" - "Avira GmbH" - C:\WINDOWS\system32\avsda.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
16.06.2010, 13:51 | #19 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc.Zitat:
Virenscanner und Windows-Firewall kannst wieder aktivieren.
__________________ Logfiles bitte immer in CODE-Tags posten |
17.06.2010, 06:03 | #20 |
| Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Herzlichen Dank für die Anweisung: File "flacor.dat" im Fenster von OSAM gefunden, "Turn on" / "Turn off" möglich aber "delete from storage" ist hellgrau und kann nicht ausgewählt werden.... Wo liegt das Problem, wie kann ichs lösen??? |
17.06.2010, 08:54 | #21 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Dann lösch es so: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete: C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken
__________________ --> Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. |
20.06.2010, 06:49 | #22 |
| Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Guten Morgen lieber Arne, war drei Tage weg, bin nun wieder zurück und habe deine Anweisung ausgeführt! Hier der LogFile von Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat" deleted successfully. Completed script processing. ******************* Finished! Terminate. und hier der Link dazu: hxxp://www.file-upload.net/download-2611462/backup.zip.html Bei jedem Neustart kommt die Fehlermedlung: RUNDLL "Fehler beim Laden von C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat Das angegebene Modul wurde nicht gefunden." Außerdem war beim ersten Neustart das Symbol von AntiVir in der Taskleiste nicht zu sehen, jetzt ist es wieder da... Ganz, ganz lieben Dank für deine Hilfe. Sag mir bitte Bescheid, wenn ich die Datei auf www.file-upload.net/ wieder löschen kann. Viele Grüße und einen schönen Sonntag Pauline P.S. Das Notebook meiner Tochter ist ab und zu mit meinem PC über Netzwerk verbunden (gewesen), was muss / kann ich tun um feststellen, dass dort nich auch was Böses drauf geraden ist??? Geändert von Pauline (20.06.2010 um 07:15 Uhr) |
20.06.2010, 15:15 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Die Fehlermeldung erscheint, weil die Schädlingsdatei entfernt wurde, den zugehörigen Autostarteintrag dazu aber nicht. Kümmern wir uns später drum. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
20.06.2010, 21:58 | #24 |
| Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Hier das Log von Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4218 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 20.06.2010 22:57:28 mbam-log-2010-06-20 (22-57-28).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|) Durchsuchte Objekte: 734645 Laufzeit: 3 Stunde(n), 53 Minute(n), 21 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\getdo (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: F:\System Volume Information\_restore{BE27EB5A-ED57-48C1-A4FB-AE5A45D73CAE}\RP772\A0482655.exe (Trojan.Downloader) -> Quarantined and deleted successfully. F:\System Volume Information\_restore{BE27EB5A-ED57-48C1-A4FB-AE5A45D73CAE}\RP772\A0482656.exe (Backdoor.IRCbot) -> Quarantined and deleted successfully. F:\System Volume Information\_restore{BE27EB5A-ED57-48C1-A4FB-AE5A45D73CAE}\RP772\A0482658.exe (Trojan.Bancos) -> Quarantined and deleted successfully. |
21.06.2010, 16:16 | #25 |
| Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Nachstehend nun auch das Logfile von SuperAntiSpyware. Die Fehlermeldung: RUNDLL "Fehler beim Laden von C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat Das angegebene Modul wurde nicht gefunden." kommt jetzt übrigens beim Neustart nicht mehr! SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 06/21/2010 at 06:44 AM Application Version : 4.39.1002 Core Rules Database Version : 5093 Trace Rules Database Version: 2905 Scan type : Complete Scan Total Scan Time : 07:30:57 Memory items scanned : 501 Memory threats detected : 0 Registry items scanned : 9273 Registry threats detected : 0 File items scanned : 615756 File threats detected : 130 Adware.Tracking Cookie C:\Dokumente und Einstellungen\MP\Cookies\mp@ad2.clickhype[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.zanox[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@track.adform[3].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.glispa[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@collective-media[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@xiti[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.watchmygf[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@static.ads.crakmedia[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@apmebf[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@webmasterplan[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@track.adform[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@de.sitestat[3].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@advertiser.contextmatters[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.crakmedia[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.medienhaus[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@content.yieldmanager[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@statcounter[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.creative-serving[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ads[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@paypal.112.2o7[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@e-2dj6wmlokmajcco.stats.esomniture[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@adxpansion[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@fpsexgals[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@mediaplex[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.zeusclicks[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.adnet[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@eas.apm.emediate[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.adserver01[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.yieldmanager[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@zanox[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@trafficholder[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@im.banner.t-online[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@atdmt[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@de.sitestat[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@adinterax[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@2o7[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@counter.live4members[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ww251.smartadserver[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@adtech[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@bs.serving-sys[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@serving-sys[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@zanox-affiliate[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.whaleads[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@rotator.adjuggler[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@tracking.mlsat02[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@tracking.quisma[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ihg.db.advertising[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@e-2dj6wnmikjdzkkq.stats.esomniture[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@rts.pgmediaserve[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@traffictrack[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@adbrite[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@de.sitestat[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.adition[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@stats.paypal[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@tradedoubler[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@doubleclick[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@www.zanox-affiliate[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@revsci[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@fastclick[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@euros4click[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ad2.doublepimp[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@adfarm1.adition[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@www.etracker[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@advertising[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@www.active-tracking[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@smartadserver[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@unitymedia[1].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.allvatar[2].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@content.yieldmanager[3].txt C:\Dokumente und Einstellungen\MP\Cookies\mp@partypoker[1].txt naiadsystems.com [ D:\060326PIII500\060326_C\WIN98\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\S526WG59 ] Trojan.Agent/Gen-Krpytik D:\060326PIII500\031211PIII500_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_NNN_-INTERN\_NNN_BILDER_INTERN.EXE D:\060326PIII500\031211PIII500_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_GRUPPE 02-ALPENEXPRESS\_NNN_BILDER.EXE D:\060326PIII500\031211PIII500_D\EIGENE DATEIEN\_NNN_\_NNN_ BEI RVS\2002GEWINNSPIEL-NEC\BIKER.EXE D:\060326PIII500\060326_C\PROGRAMME\AGFEO\TKSOFT\CO32.DLL D:\060326PIII500\060326_C\PROGRAMME\TELEKOM\TKSOFT\CO32.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\C4808XA2.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\C4811XA2.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\C7208XC2.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\C8811XA2.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\C9608XC2.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\C9611XA2.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\D4808XA2.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\D4811XA2.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\D7208XC2.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\D8811XA2.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\D9608XC2.DLL D:\060326PIII500\060326_C\WIN98\SYSTEM\D9611XA2.DLL D:\060326PIII500\060326_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_NNN_-INTERN\_NNN_BILDER_INTERN.EXE D:\060326PIII500\060326_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_GRUPPE 02-ALPENEXPRESS\_NNN_BILDER.EXE D:\PROGRAMME\AGFEO\TKREM\CO32.DLL D:\PROGRAMME\AGFEO\TKSOFT\CO32.DLL F:\SICHERUNGEN2\PIII500\060326_D\EIGENE DATEIEN\NNN\_NNN_ BEI RVS\2002GEWINNSPIEL-NEC\BIKER.EXE Adware.Vundo/Variant-X32[Header] D:\060326PIII500\060326_C\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL D:\060326PIII500\060326_C\PROGRAMME\AKADEMISCHE ARBEITSGEMEINSCHAFT\STEUERTIPPS PC 2000\DMQV32.DLL D:\060326PIII500\060326_C\PROGRAMME\TELEKOM\TKSOFT\TKMOD32.DLL D:\PROGRAMME\AGFEO\TKREM\TKMOD32.DLL D:\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\BCARDC32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\BCARDR32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\EVE32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FINGER32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\BCARD.DE\BCARDC32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\BCARD.DE\BCARDR32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\EVE.DE\EVE32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\FINGER.DE\FINGER32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\MAILMRGE.DE\MLMRGE32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\MULTIPOP.DE\MLTPOP32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\PH.DE\PH32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\TPHONE.DE\TPHONE32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\MLMRGE32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\MLTPOP32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\ORDER32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\PH32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\TPHONE32.DLL F:\SICHERUNGEN2\050309NOTEBOOK-NNN-KPLT\PROGRAMME\AKADEMISCHE ARBEITSGEMEINSCHAFT\STEUERTIPPS PC 2001\DMQV32.DLL Trojan.Unclassified-Packed/Suspicious D:\060326PIII500\060326_C\PROGRAMME\FWIN32\FW32O2K.DLL Adware.NetPumper D:\060326PIII500\060326_C\PROGRAMME\NETPUMPER\NPNETPUMPER_APPLICATION.DLL Trojan.Dropper/Gen D:\060326PIII500\060326_C\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE D:\060326PIII500\060326_D\ARB-DISK\KOPIE VON T-ONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE D:\060326PIII500\060326_D\ARB-DISK\KOPIE VON TONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE D:\060326PIII500\060326_D\ARB-DISK\T-ONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE D:\060326PIII500\060326_D\ARB-DISK\TONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMM\T_ONLINE\DRELREST.EXE F:\SICHERUNGEN2\ATHLON2400+\060325_F_HD200_PROGRAMME\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE Trojan.Downloader-Gen/Loader D:\060326PIII500\060326_C\TEMP\GTECH\ALLG\LOADER.EXE Trojan.Agent/Gen-ImageDocFake D:\060326PIII500\060326_D\2004-NEU\NNN.DOC D:\080819NOTEBOOK_C2\LOSTFILE\DIR76\14365692,TID=I,WXH=600-450-I7VR23[1].JPG F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_D\EIGENE DATEIEN\NNN\99SCHULANFäNGER.DOC Trojan.Agent/Gen-Koobface[Bonkers] F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\991226SICHERUNG G\PROGRAMME\ICONEDIT6\REGISTER.EXE |
21.06.2010, 18:36 | #26 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Also SUPERAntiSpyware hat da aber noch einiges gefunden! Kannst Du die Dateien, die SUPERAntiSpyware anzeigt, zuordnen? zB diese hier: D:\060326PIII500\060326_C\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL D:\060326PIII500\060326_C\PROGRAMME\AKADEMISCHE ARBEITSGEMEINSCHAFT\STEUERTIPPS PC 2000\DMQV32.DLL D:\060326PIII500\060326_C\PROGRAMME\TELEKOM\TKSOFT\TKMOD32.DLL D:\PROGRAMME\AGFEO\TKREM\TKMOD32.DLL D:\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\BCARDC32.DLL
__________________ Logfiles bitte immer in CODE-Tags posten |
21.06.2010, 21:48 | #27 |
| Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Ja, sind teils Sicherungskopien / Backups von nem alten PC aus 2006, das Letzte mit ner Sicherung aus 1999...;-). Von den Verzeichnissen her gehören die Dateien zur (Konfigurations-)Software der Telefonanlage, zum Progi für die Steuererklärung und nem alten Mailprogramm. Glaube nicht, dass das Schädlinge sind... Bei den Dateien, die "Bilder" im Verzeichnisbaum haben, handelt es sich um selbstentpackende Archive mit Bildern... müssten aus 2002 sein... Was soll ich nun als nächstes tun? |
21.06.2010, 21:58 | #28 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Dann entfern nur die Funde, die nicht in den Sicherungsordnern sind. Es sei denn Du brauchst garnix mehr davon, dann kann alles weg. Zitat:
Bilder sind eine rel. ungefährliche Sache. Es macht keinen Sinn, diese in ein generell bedenkliches Format (exe) zu gießen, v.a. weil Bilder idR schon komprimiert sind (jpg, png) und man keinen Platzvorteil dadurch hat!!
__________________ Logfiles bitte immer in CODE-Tags posten |
22.06.2010, 08:56 | #29 |
| Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. Einen wunder schönen guten Morgen lieber Arne. Vor 10 Jahren war es ja noch nicht selbstverständlich, dass jeder Archive entpacken konnte, da war das mit selbstentpackenden schon ne feine Sache... ausführen fertig... Außerdem dienen Archive ja nicht nur der Kompression sondern auch um viele kleine Dateien in einer zur verpacken und bei Modemübertragung oder auf Disketten war frau ja froh für jedes verkleinerte Byte... heute würde man das natürlich keinesfalls mehr machen SUPERAntiSpyware hat alle Funde in Quarantäne gepackt. Die Dateien, die ich für ungefährlich halte also wieder herstellen und den Rest Entfernen, richtig? Dann versucht der Adobe Updater gerade den Acrobat 8 Professional auf Acrobat 8.1.4 (KB408682) zu aktualisieren und Adobe Flash Player ein Update auf 10.1 zu erstellen. Kann ich das bedenkenlos zulassen? Wie gehts dann weiter? Liebe Grüße Pauline |
22.06.2010, 09:27 | #30 | ||||
/// Winkelfunktion /// TB-Süch-Tiger™ | Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc.Zitat:
Packer waren schon immer recht verbreitet. WinZip hab ich damals als erstes benutzt (unter Windows um 1997 herum). Davor zu DOS-Zeiten schon hin und wieder das Kommandozeilentool ARJ benutzt. Zitat:
Zitat:
Zitat:
Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc. |
ad-aware, antivir, ausgesperrt, avira, bho, bitte um hilfe, blinkt, bonjour, computer, downloader, ebay, excel, firefox, flacor.dat, free download, hijack, hilfe!!, hkus\s-1-5-18, home, internet, internet explorer, langsam, maus, nicht öffnen, object, plug-in, pop-up-blocker, rundll, sehr langsam, software, starten, system, tab öffnen, windows, windows xp, word benutzer besitzt keine zugriffsrecht, zugriffsrecht |