| |
| |||||||
Log-Analyse und Auswertung: Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter VerdachtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
06.07.2010, 00:48
| #1 |
 |  Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht Hallo, nachdem ich letzte Woche erste Probleme an meinem PC feststellte, bin ich auf dieses Forum gestoßen, in dem User die gleichen Symptome schilderten. Ich hatte gehofft mit der entsprechenden Software das Problem zu lösen, aber ich bin wohl gescheitert. Was war passiert? Seit Mittwoch letzter Woche öffneten sich im Explorer ohne mein Zutun neue Fenster mit Werbung. Quasi pro Explorer-Sitzung einmal. Die Seiten hießen, soweit ich mitprotokolliert habe: h**p://iwbale.net/webhp/ h**p://iwbale.net/webhp/ h**p://tumaskate.com/nte/rfx.py h**p://safe-monitoring-4.in/11/ h**p://www.edeka.de/EDEKA/Content/Unterhaltung/WMWelt/index.html h**p://iwbale.net/img/ h**p://iwbale.net/img/ h**p://safe-monitoring-6.in/phpbb/image/index.php?ID=19834&fb=WVRveU9udHpPamc2SW5WelpYSmtZWFJoSWp0aE9qTTZlM002TWpvaWFXUWlPM002TmpvaU1UWTFOelUySWp0ek9qRXlPaUpoWkhabGNuUnBjMlZmYVdRaU8zTTZOam9p TVRBMk16WTVJanR6T2pRNkltdHdjR2tpTzA0N2ZYTTZNem9pYldRMUlqdHpPak15T2lJMk9XUmtNRFUyWm1VM05tTmhOMll4TlRNeVptSTNZVEptWkRNNU5USTFZeUk3ZlE9PQ%3D%3D Das war zwar nervig und antivir wie auch spybot konnte die Ursache nicht finden, aber meine Zeit ließ einen Eintrag hier nicht zu. Am Samstag dann jedoch die nächste Eskalationsstufe. Nach dem Wegklicken der „safe-monitoring“ Seite stand der PC – nichts ging mehr. „Steckerziehen“, neu hochfahren, „Active Desktop wiederherstellen?“. Noch nie gehört. Die Viren und Malware-Programme funktionierten nicht mehr bzw. nach 30 Sekunden stand der ganze PC. Zig mal neugestartet, in einer konstatierten Rettungsaktion noch schnell alle wichtigen Daten auf den USB-Stick kopiert und dann noch mal hier nachgelesen. Inzwischen habe ich mit Malwarebytes, SuperAntiSpy und AntiVir mehrere Durchläufe gemacht und dabei wohl den Trojaner cleansweep ausfindig gemacht und gelöscht. Seitdem scheinen die Fehler behoben. So dachte ich bis eben. Nachdem ich Java neuinstalliert habe, dieses hatte ich genauso wie den AdobeReader erstmal deinstalliert, sind inzwischen schon zweimal neue Seiten aufgepoppt. Einmal die "safe-monitoring" Geschichte und einmal: h**p://belgianlove.org/?xurl=hxxp://mfeed.in/XvU1HCXx5F5Xr7u1187e13ce704db17f341d30bfb3c2739738k&xref=hxxp://belgianlove.org/result.php?Keywords=Trojaner-Board&r=bd84c5462e98a52053896cc742b9c31a4644ed968c09b51f86f30cad46845690283aa0d900843c7fe8370176843fc4cb&Submit=Go was ich merkwürdig finde, da ich von eurem Board da hin reffered werde. Insegesamt fällt mir als Auslöser retrospektiv ein, dass ich anfang letzter Woche nach dem Neustart die Info erhielt, ich müsste mein Windows XP neuregistrieren, weil die Hardware sich wohl verändert hätte. Ich hatte eigentlich nichts neu installiert, aber klickte, vielleicht blöderweise, auf "jetzt neu aktivieren". Dann verschwand dieses Key-Symbol, was einen nach Windowsneuinstallation immer an die Registrierung erinnert, auch sofort. Die LogDatei von Malwarebytes als der Trojaner eleminiert wurde, sah so aus: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4262
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
03.07.2010 12:37:10
mbam-log-2010-07-03 (12-37-10).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 126996
Laufzeit: 7 Minute(n), 25 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Delete on reboot.
Infizierte Dateien:
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4274
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
04.07.2010 17:35:15
mbam-log-2010-07-04 (17-35-15).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 245413
Laufzeit: 52 Minute(n), 15 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\pdfupd.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WDBIYMVE\update[1].exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D97B6483-E292-4A6B-8210-C59EBD29F4A5}\RP86\A0011748.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D97B6483-E292-4A6B-8210-C59EBD29F4A5}\RP86\A0013784.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
Die aktuellen, ganz frischen, Logs lauten: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:45:43, on 05.07.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe E:\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE E:\Adobe Photo Shop\PhotoshopElementsFileAgent.exe E:\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe E:\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O20 - Winlogon Notify: !SASWinLogon - E:\SuperAntiSpyware\SASWINLO.DLL O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - E:\Adobe Photo Shop\PhotoshopElementsFileAgent.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir Desktop\avguard.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe O23 - Service: SoundMovieServer - SoundMovieServer - C:\WINDOWS\system32\snmvtsvc.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 4614 bytes Malwarebytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4280
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
05.07.2010 23:38:09
mbam-log-2010-07-05 (23-38-09).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 249372
Laufzeit: 46 Minute(n), 55 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 07/06/2010 at 00:53 AM
Application Version : 4.40.1002
Core Rules Database Version : 5155
Trace Rules Database Version: 2967
Scan type : Complete Scan
Total Scan Time : 00:28:21
Memory items scanned : 512
Memory threats detected : 0
Registry items scanned : 7487
Registry threats detected : 3
File items scanned : 22777
File threats detected : 0
Disabled.SecurityCenterOption
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#ANTIVIRUSDISABLENOTIFY
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#FIREWALLDISABLENOTIFY
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#UPDATESDISABLENOTIFY
Geändert von OSAS (06.07.2010 um 01:25 Uhr) |
|
06.07.2010, 00:50
| #2 |
| | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht Und, weil ich es in die Hilfe-Thrads auch schon als häufig verlangtes Tool gesehen habe, der OTL Log:
__________________Code:
ATTFilter OTL logfile created on: 06.07.2010 01:21:09 - Run 3 OTL by OldTimer - Version 3.2.7.0 Folder = E:\ Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 73,00% Memory free 5,00 Gb Paging File | 4,00 Gb Available in Paging File | 90,00% Paging File free Paging file location(s): D:\pagefile.sys 3072 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 29,29 Gb Total Space | 12,97 Gb Free Space | 44,29% Space Free | Partition Type: NTFS Drive D: | 9,77 Gb Total Space | 6,71 Gb Free Space | 68,75% Space Free | Partition Type: NTFS Drive E: | 19,53 Gb Total Space | 14,94 Gb Free Space | 76,50% Space Free | Partition Type: NTFS Drive F: | 537,57 Gb Total Space | 96,15 Gb Free Space | 17,89% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: *** Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - E:\SuperAntiSpyware\66dee54b-fdb0-44d8-9096-4af3f7feb5dc.com (SUPERAntiSpyware.com) PRC - E:\OTL.exe (OldTimer Tools) PRC - E:\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - E:\Microsoft Office 2003\OFFICE11\WINWORD.EXE (Microsoft Corporation) PRC - E:\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - E:\Adobe Photo Shop\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - E:\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software) PRC - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo) ========== Modules (SafeList) ========== MOD - E:\OTL.exe (OldTimer Tools) MOD - E:\SuperAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) MOD - C:\WINDOWS\system32\riched20.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) MOD - C:\WINDOWS\system32\msvcr71.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msvcp71.dll (Microsoft Corporation) MOD - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Word\STARTUP\EN9CWYW.WordXP.wll (Thomson ResearchSoft) MOD - C:\WINDOWS\system32\mfc71u.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\MFC71DEU.DLL (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.) SRV - (AntiVirService) -- E:\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- E:\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (SoundMovieServer) -- C:\WINDOWS\System32\snmvtsvc.exe (SoundMovieServer) SRV - (AdobeActiveFileMonitor7.0) -- E:\Adobe Photo Shop\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated) SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG) SRV - (StarWindServiceAE) -- E:\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software) SRV - (IviRegMgr) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo) SRV - (OpenVPNService) -- C:\Programme\OpenVPN\bin\openvpnserv.exe () SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (SASKUTIL) -- E:\SuperAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com) DRV - (SASDIFSV) -- E:\SuperAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com) DRV - (tbhsd) -- C:\WINDOWS\system32\drivers\tbhsd.sys (RapidSolution Software AG) DRV - (taphss) -- C:\WINDOWS\system32\drivers\taphss.sys (AnchorFree Inc) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (tap0901) -- C:\WINDOWS\system32\drivers\tap0901.sys (The OpenVPN Project) DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (SndTAudio) -- C:\WINDOWS\system32\drivers\SndTAudio.sys (Windows (R) Codename Longhorn DDK provider) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (ACEDRV07) -- C:\WINDOWS\system32\drivers\ACEDRV07.sys (Protect Software GmbH) DRV - (avgio) -- E:\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (SndTVideo) -- C:\WINDOWS\system32\drivers\SndTVideo.sys (Windows (R) 2000 DDK provider) DRV - (TotRec7) -- C:\WINDOWS\system32\drivers\TotRec7.sys (High Criteria inc.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (MovRVDrv32) -- C:\WINDOWS\system32\drivers\MovRVDrv32.sys (Windows (R) 2000 DDK provider) DRV - (SndTDriverV32) -- C:\WINDOWS\system32\drivers\SndTDriverV32.sys (Windows (R) 2000/XP) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (tapvpn) -- C:\WINDOWS\system32\drivers\tapvpn.sys (The OpenVPN Project) DRV - (s816mdm) -- C:\WINDOWS\system32\drivers\s816mdm.sys (MCCI Corporation) DRV - (s816mgmt) Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\s816mgmt.sys (MCCI Corporation) DRV - (s816unic) Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM) -- C:\WINDOWS\system32\drivers\s816unic.sys (MCCI) DRV - (s816obex) -- C:\WINDOWS\system32\drivers\s816obex.sys (MCCI Corporation) DRV - (s816nd5) Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS) -- C:\WINDOWS\system32\drivers\s816nd5.sys (MCCI Corporation) DRV - (s816mdfl) -- C:\WINDOWS\system32\drivers\s816mdfl.sys (MCCI Corporation) DRV - (s816bus) Sony Ericsson Device 816 driver (WDM) -- C:\WINDOWS\system32\drivers\s816bus.sys (MCCI Corporation) DRV - (acedrv09) -- C:\WINDOWS\system32\drivers\acedrv09.sys (Protect Software GmbH) DRV - (acehlp09) -- C:\WINDOWS\system32\drivers\acehlp09.sys (Protect Software GmbH) DRV - (tap0801) -- C:\WINDOWS\system32\drivers\tap0801.sys (The OpenVPN Project) DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys () DRV - (ASPI) -- C:\WINDOWS\system32\drivers\ASPI32.SYS (Adaptec) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2 FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:1.9.9.97 FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2 FF - prefs.js..extensions.enabledItems: 5 FF - prefs.js..extensions.enabledItems: 2 FF - prefs.js..extensions.enabledItems: 2 FF - prefs.js..extensions.enabledItems: {5B52016C-D097-4aec-BE61-9F129D8FDDBA}:2.0 FF - prefs.js..network.proxy.http: "localhost" FF - prefs.js..network.proxy.http_port: 9666 FF - prefs.js..network.proxy.socks: "localhost" FF - prefs.js..network.proxy.socks_port: 9050 FF - prefs.js..network.proxy.socks_remote_dns: true FF - prefs.js..network.proxy.ssl: "localhost" FF - prefs.js..network.proxy.ssl_port: 9666 FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: E:\Mozilla Firefox\components [2010.01.19 18:29:28 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: E:\Mozilla Firefox\plugins [2010.07.05 20:58:41 | 000,000,000 | ---D | M] [2010.01.04 17:46:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2010.07.03 11:49:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions [2010.07.03 11:49:36 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.01.15 20:40:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\{5B52016C-D097-4aec-BE61-9F129D8FDDBA} [2010.07.03 11:49:56 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232} [2010.07.03 11:49:35 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.04.12 00:10:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\firefox@tvunetworks.com O1 HOSTS File: ([2009.02.04 11:38:19 | 000,292,082 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 10056 more lines... O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found. O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - E:\Microsoft Office 2003\OFFICE11\EXCEL.EXE (Microsoft Corporation) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab (Symantec RuFSI Utility Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\!SASWinLogon: DllName - E:\SuperAntiSpyware\SASWINLO.DLL - E:\SuperAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - E:\SuperAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.06.06 17:50:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{aaa8564a-09fe-11df-8966-001fc61eba4b}\Shell\verb1\command - "" = desktop.exe O33 - MountPoints2\{ccf2d0f0-db77-11de-88bd-001fc61eba4b}\Shell\AutoRun\command - "" = Feast\Ival\Feast.exe O33 - MountPoints2\{ccf2d0f0-db77-11de-88bd-001fc61eba4b}\Shell\open\command - "" = Feast\Ival\Feast.exe O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.07.05 20:58:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun [2010.07.05 20:58:51 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2010.07.05 20:58:41 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.07.05 20:58:41 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.07.05 20:58:41 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.07.05 20:58:41 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.07.05 20:58:41 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2010.07.05 20:58:30 | 000,000,000 | ---D | C] -- C:\Programme\Java [2010.07.05 20:57:23 | 000,922,400 | ---- | C] (Sun Microsystems, Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\jre-6u20-windows-i586-iftw-rv.exe [2010.07.05 13:47:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com [2010.07.05 13:47:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com [2010.07.05 12:21:34 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [2010.06.30 08:15:26 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.06.29 12:35:22 | 000,719,872 | ---- | C] (Abysmal Software) -- C:\WINDOWS\System32\devil.dll [2010.06.29 12:35:22 | 000,369,152 | ---- | C] (The Public) -- C:\WINDOWS\System32\avisynth.dll [2010.06.29 12:35:20 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\yv12vfw.dll [2010.06.29 12:35:20 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\i420vfw.dll [2010.06.29 12:35:18 | 000,000,000 | ---D | C] -- C:\Programme\AviSynth 2.5 [2010.06.29 12:35:11 | 000,216,064 | RHS- | C] (MONOGRAM Multimedia, s.r.o.) -- C:\WINDOWS\System32\nbDX.dll [2010.06.29 12:35:11 | 000,186,880 | RHS- | C] (RadLight) -- C:\WINDOWS\System32\RLOgg.ax [2010.06.29 12:35:11 | 000,179,200 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\DiracSplitter.ax [2010.06.29 12:35:11 | 000,169,472 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\MatroskaDX.ax [2010.06.29 12:35:11 | 000,163,328 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\flvDX.dll [2010.06.29 12:35:11 | 000,161,792 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\RealMediaDX.ax [2010.06.29 12:35:11 | 000,123,904 | RHS- | C] (CoreCodec) -- C:\WINDOWS\System32\AVCDX.ax [2010.06.29 12:35:11 | 000,092,672 | RHS- | C] (RadLight) -- C:\WINDOWS\System32\RLVorbisDec.ax [2010.06.29 12:35:11 | 000,090,112 | RHS- | C] (-) -- C:\WINDOWS\System32\TTADSSplitter.ax [2010.06.29 12:35:11 | 000,090,112 | RHS- | C] (-) -- C:\WINDOWS\System32\TTADSDecoder.ax [2010.06.29 12:35:11 | 000,067,584 | RHS- | C] (RadLight, LLC) -- C:\WINDOWS\System32\RLTheoraDec.ax [2010.06.29 12:35:11 | 000,031,232 | RHS- | C] (Hans Mayerl) -- C:\WINDOWS\System32\msfDX.dll [2010.06.28 10:38:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe [2010.06.28 10:37:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Real [2010.06.20 14:19:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.07.06 01:13:01 | 000,000,482 | ---- | M] () -- C:\WINDOWS\tasks\Automatic troubleshooting.job [2010.07.06 01:12:56 | 000,012,540 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.07.06 01:12:42 | 000,192,339 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.07.06 01:12:40 | 000,001,106 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.07.06 01:12:38 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.07.06 01:12:37 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.07.06 01:11:52 | 018,350,080 | ---- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT [2010.07.06 00:28:00 | 000,001,110 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.07.05 20:58:33 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.07.05 20:58:33 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.07.05 20:58:33 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2010.07.05 20:58:32 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.07.05 20:58:32 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.07.05 20:57:24 | 000,922,400 | ---- | M] (Sun Microsystems, Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\jre-6u20-windows-i586-iftw-rv.exe [2010.07.04 09:28:56 | 000,000,619 | ---- | M] () -- C:\WINDOWS\win.ini [2010.07.04 09:28:56 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.07.04 09:28:56 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2010.07.03 12:15:09 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini [2010.06.30 23:41:59 | 000,521,484 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Zwischenablage01.jpg [2010.06.30 14:37:31 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.06.30 14:34:31 | 000,173,568 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.06.30 08:15:26 | 000,001,710 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\HijackThis.lnk [2010.06.20 23:21:16 | 000,012,540 | ---- | M] () -- C:\WINDOWS\System32\wpa.bak [8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.06.29 12:35:20 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2010.06.29 12:35:11 | 000,227,328 | RHS- | C] () -- C:\WINDOWS\System32\ac3DX.ax [2010.06.29 12:35:11 | 000,175,104 | RHS- | C] () -- C:\WINDOWS\System32\CoreAAC.ax [2010.06.29 12:35:11 | 000,120,832 | RHS- | C] () -- C:\WINDOWS\System32\MPCDx.ax [2010.06.29 12:35:11 | 000,107,520 | RHS- | C] () -- C:\WINDOWS\System32\RLMPCDec.ax [2010.06.29 12:35:11 | 000,097,280 | RHS- | C] () -- C:\WINDOWS\System32\FLACDX.ax [2010.06.29 12:35:11 | 000,081,920 | RHS- | C] () -- C:\WINDOWS\System32\aac_parser.ax [2010.06.29 12:35:11 | 000,070,656 | RHS- | C] () -- C:\WINDOWS\System32\RLAPEDec.ax [2010.06.29 12:35:11 | 000,051,712 | RHS- | C] () -- C:\WINDOWS\System32\RLSpeexDec.ax [2010.03.29 19:42:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\asym.ini [2010.01.03 13:59:12 | 000,000,168 | ---- | C] () -- C:\WINDOWS\wininit.ini [2009.12.02 19:38:37 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2009.03.24 17:29:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\PyWinTypes21.dll [2009.03.24 17:29:47 | 000,290,919 | ---- | C] () -- C:\WINDOWS\System32\pythoncom21.dll [2009.03.24 17:28:11 | 000,096,768 | ---- | C] () -- C:\WINDOWS\SlantAdj.dll [2009.03.24 17:28:11 | 000,000,072 | ---- | C] () -- C:\WINDOWS\System32\epDPE.ini [2009.03.19 13:41:05 | 000,000,015 | ---- | C] () -- C:\WINDOWS\smapanel.ini [2009.03.02 12:33:32 | 000,067,584 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2009.03.02 12:33:32 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest [2009.02.04 10:14:35 | 000,717,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2008.07.09 14:48:45 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.06.26 20:51:35 | 000,000,029 | ---- | C] () -- C:\WINDOWS\DEBUGSM.INI [2008.06.25 00:48:36 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS79.DLL [2008.06.10 23:05:57 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2008.06.06 18:02:17 | 000,033,012 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini [2008.06.06 18:02:04 | 000,032,727 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2008.06.06 18:02:03 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys [2008.06.06 18:01:53 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2007.04.19 07:26:00 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.04.19 07:26:00 | 001,503,232 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.04.19 07:26:00 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.04.19 07:26:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [2007.04.19 07:26:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007.04.19 07:26:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2006.09.13 13:06:10 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\gtapi.dll [2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI < End of report > OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 06.07.2010 01:21:09 - Run 3
OTL by OldTimer - Version 3.2.7.0 Folder = E:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 73,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): D:\pagefile.sys 3072 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 12,97 Gb Free Space | 44,29% Space Free | Partition Type: NTFS
Drive D: | 9,77 Gb Total Space | 6,71 Gb Free Space | 68,75% Space Free | Partition Type: NTFS
Drive E: | 19,53 Gb Total Space | 14,94 Gb Free Space | 76,50% Space Free | Partition Type: NTFS
Drive F: | 537,57 Gb Total Space | 96,15 Gb Free Space | 17,89% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "E:\Microsoft Office 2003\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "E:\Microsoft Office 2003\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "E:\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [MediaMonkey.1Play] -- "E:\MediaMonkey3\MediaMonkey.exe" "%1" (Ventis Media Inc.)
Directory [MediaMonkey.2PlayNext] -- "E:\MediaMonkey3\MediaMonkey.exe" /NEXT "%1" (Ventis Media Inc.)
Directory [MediaMonkey.3Enqueue] -- "E:\MediaMonkey3\MediaMonkey.exe" /ADD "%1" (Ventis Media Inc.)
Directory [PlayWithVLC] -- "E:\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [SCHLECKER Foto Digital Service] -- "E:\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\ICQ6.5\ICQ.exe" = E:\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = InterVideo WinDVD 8
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{2A03B9F8-BE6D-43C6-A16A-B9998A194AF0}" = Garmin Training Center
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35B73650-6899-11DA-6784-00232A9018BE}" = GraphPad Prism 5 (Trial)
"{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}" = Joe
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{53C020C2-8C1A-11D9-8BDE-F66BAD1E3F3A}" = EndNote 9 Volume License Edition
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{65F9E1F3-A2C1-4AA9-9F33-A3AEB0255F0E}" = Garmin USB Drivers
"{66A9D30D-1464-4C7F-B2F3-507DADAF2595}" = Microsoft IntelliPoint 6.3
"{6C11D561-620B-47DA-A693-4C597F3CDF40}" = EPSON Smart Panel
"{6CDC748B-47B0-45EB-B740-681E8429F7F9}" = Opera 10.01
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8DCE550C-CA43-4E82-92DF-FFC4A48F5BE1}" = Napster Burn Engine
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A3EABC0-CA06-11D4-BF77-00104B130C19}" = EPSON TWAIN 5
"{9C450606-ED24-4958-92BA-B8940C99D441}" = PixiePack Codec Pack
"{9EDBB857-8028-49CD-B9C9-0B4D10CD1031}" = Nero 8
"{A066194B-DC8F-449A-8E0F-B57BDD3A2072}" = SyncToy 2.1 (x86)
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B69CC1A5-0404-11D6-ABCB-005004C21D30}" = EPSON Copy Utility
"{BBBCAE4B-B416-4182-A6F2-438180894A81}" = Napster
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB6075D9-F912-40AE-BEA6-E590DA24F16B}" = Adobe Photoshop Elements 7.0
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}" = TuneUp Utilities
"{D3A80508-CD83-4CA3-8671-914A1BC78B61}" = Microsoft Sync Framework 2.0 Provider Services (x86) ENU
"{D642E38E-0D24-486C-9A2D-E316DD696F4B}" = Microsoft XML Parser
"{DEAD07C6-D070-43AB-A60D-D9ABE55E296D}_is1" = JPEGCrops 0.7.5 beta
"{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}" = ScanToWeb
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{FF63121D-91C6-42CC-B341-F1AA729728E7}" = Microsoft Sync Framework 2.0 Core Components (x86) ENU
"49CF605F02C7954F4E139D18828DE298CD59217C" = Windows Driver Package - Garmin (grmnusb) GARMIN Devices (06/03/2009 2.3.0.0)
"7-Zip" = 7-Zip 4.64
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop Elements 7" = Adobe Photoshop Elements 7.0
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"dBpoweramp [Multi Encoder] Codec" = dBpoweramp [Multi Encoder] Codec
"dBpoweramp DSP Effects" = dBpoweramp DSP Effects
"dBpoweramp FLAC Codec" = dBpoweramp FLAC Codec
"dBpoweramp m4a Codec" = dBpoweramp m4a Codec
"dBpoweramp Midi Decoder" = dBpoweramp Midi Decoder
"dBpoweramp Monkeys Audio Codec" = dBpoweramp Monkeys Audio Codec
"dBpoweramp mp3 (Fraunhofer IIS) Codec" = dBpoweramp mp3 (Fraunhofer IIS) Codec
"dBpoweramp Musepack Codec" = dBpoweramp Musepack Codec
"dBpoweramp Music Converter" = dBpoweramp Music Converter
"dBpoweramp Ogg Vorbis Codec" = dBpoweramp Ogg Vorbis Codec
"dBpoweramp Windows Media Audio 10 Codec" = dBpoweramp Windows Media Audio 10 Codec
"EPSON Photo Print" = EPSON Photo Print
"Exifer_is1" = Exifer
"EZemailBackup_is1" = EZ eMail Backup 2.0
"Free Video to Mp3 Converter_is1" = Free Video to Mp3 Converter version 3.1
"HijackThis" = HijackThis 2.0.2
"HyperCam 2" = HyperCam 2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = InterVideo WinDVD 8
"IrfanView" = IrfanView (remove only)
"ISI ResearchSoft - Export Helper" = ISI ResearchSoft - Export Helper
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Marvell Miniport Driver" = Marvell Miniport Driver
"MediaMonkey_is1" = MediaMonkey 3.2
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"Mp3tag" = Mp3tag v2.41
"MPE" = MyPhoneExplorer
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"OpenVPN" = OpenVPN 2.0.9
"PartyPoker" = PartyPoker
"ProtectDisc Driver" = ProtectDisc Helper Driver
"RealPlayer 6.0" = RealPlayer
"Ruhe_is1" = Ruhe V 0.09c
"SCHLECKER Foto Digital Service" = SCHLECKER Foto Digital Service
"SopCast" = SopCast 3.0.3
"SoundTaxi_is1" = SoundTaxi 3.8.3
"SUPER ©" = SUPER © Version 2010.bld.37 (Jan 2, 2010)
"Tippmaster_is1" = Tippmaster v3.4.0
"TotalRecorder" = Total Recorder 7.1
"Trillian" = Trillian
"TVUPlayer" = TVUPlayer 2.5.2.2
"VLC media player" = VLC media player 1.0.1
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.7
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"Yahoo! Widget Engine" = Yahoo! Widgets
"YInstHelper" = Yahoo! Install Manager
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 03.07.2010 05:20:11 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 03.07.2010 18:00:27 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .
Error - 03.07.2010 18:00:28 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 04.07.2010 03:45:07 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung AcroRd32.exe, Version 8.1.0.137, fehlgeschlagenes
Modul EScript.api, Version 8.1.3.187, Fehleradresse 0x000eee1a.
Error - 05.07.2010 05:54:37 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .
Error - 05.07.2010 05:54:37 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 05.07.2010 16:13:05 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .
Error - 05.07.2010 16:13:05 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 05.07.2010 18:13:36 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .
Error - 05.07.2010 18:13:36 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windows update.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
[ System Events ]
Error - 01.05.2010 02:01:36 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.3 für die Netzwerkkarte mit der Netzwerkadresse
001FC61EBA4B wurde durch den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 01.05.2010 20:17:25 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
001FC61EBA4B wurde durch den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 02.05.2010 03:51:54 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
001FC61EBA4B wurde durch den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 02.05.2010 15:19:04 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
001FC61EBA4B wurde durch den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 03.05.2010 00:59:52 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
001FC61EBA4B wurde durch den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 03.05.2010 16:09:20 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
001FC61EBA4B wurde durch den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 04.05.2010 01:52:34 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.3 für die Netzwerkkarte mit der Netzwerkadresse
001FC61EBA4B wurde durch den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 04.05.2010 17:12:18 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
001FC61EBA4B wurde durch den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 05.05.2010 04:11:15 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
001FC61EBA4B wurde durch den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
Error - 05.05.2010 16:32:04 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.2 für die Netzwerkkarte mit der Netzwerkadresse
001FC61EBA4B wurde durch den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).
< End of report >
Kann man anhand der Logs schon den Fehler sehen? Ist Java das respektive so ein Problem? Die Koinzidenz der Probleme mit Neuinstallation der Software ist ja deutlich, allerdings ging’s vorher auch lange gut. Zusätzliches (oder vergesellschaftetes?) Problem: Das Windows-Update geht nicht. Der implementierte Windows Update Button liefert „Die Website kann nicht angezeigt werden“ und auch die Google Suche lässt mich die Seite „h**p://update.microsoft.com/windows update/v6/default.aspx?ln=de“ nicht öffnen. Vielen Dank für die Hilfe, OSAS p.S. Sorry für die 2 Posts, aber euer Forum lässt das Wort "windows_update" (ohne unterstrich) nicht zu, sondern reagiert dann mit "die webseite konnte nicht angezeigt werden". das musste ich ersteinmal rausfinden.  Geändert von OSAS (06.07.2010 um 01:27 Uhr) |
|
06.07.2010, 11:16
| #3 |
| /// Malware-holic   | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht bitte erstelle und poste ein combofix log.
__________________Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
06.07.2010, 19:13
| #4 |
| | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht Hallo, danke für die Antwort. Vor dem Combofix-Log noch eins vorneweg. Ich habe noch mit ESET und Kasparsky gescannt. ESET fand den von mir vermuteten Java-Trojaner, der, wie von mir beschrieben, weg war, als Java deinstalliert war und wieder auftauchte, als ich es neu drauf zog. Blöderweise findet Kaspersky immernoch Java-Files, obwohl ESET diese nicht mehr sieht. ESET Code:
ATTFilter ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=6beca40cf0fa04458255a1704bd924ed
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-07-06 01:21:48
# local_time=2010-07-06 03:21:48 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 499229 499229 0 0
# compatibility_mode=1797 16775141 100 100 1021504 53893062 51448 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=58440
# found=4
# cleaned=4
# scan_time=1556
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\3eb5eadb-4d5e2e61 multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\a61e120-64015ea1 multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\14833d-62254409 probably a variant of Java/TrojanDownloader.Agent.AB trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Programme\Hotspot Shield\bin\openvpnas.exe a variant of Win32/HotSpotShield application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=6beca40cf0fa04458255a1704bd924ed
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-07-06 09:26:01
# local_time=2010-07-06 11:26:01 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 523603 523603 0 0
# compatibility_mode=1797 16775125 100 100 1045878 53917436 75822 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=158288
# found=2
# cleaned=2
# scan_time=6235
E:\@Install-Links\HSS-1.12-install-anchorfree-76-conduit.zip a variant of Win32/HotSpotShield application (deleted - quarantined) 00000000000000000000000000000000 C
E:\@Install-Links\HSS-1.37-install-anchorfree-76-conduit.exe a variant of Win32/HotSpotShield application (deleted - quarantined) 00000000000000000000000000000000 C
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=6beca40cf0fa04458255a1704bd924ed
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-07-06 02:04:16
# local_time=2010-07-06 04:04:16 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 542489 542489 0 0
# compatibility_mode=1797 16775125 100 100 1064764 53936322 94708 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=97286
# found=0
# cleaned=0
# scan_time=4043
Code:
ATTFilter Tuesday, July 6, 2010
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Tuesday, July 06, 2010 05:12:04
Records in database: 4244456
Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes
Scan area My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
Scan statistics
Objects scanned 158297
Threats found 2
Infected objects found 3
Suspicious objects found 1
Scan duration 01:51:50
File name Threat Threats count
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\45325901-55b9924c Infected: Trojan-Downloader.Java.Agent.ff 1
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56\1960d6f8-10e2868c Infected: Trojan-Downloader.Java.Agent.ff 1
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\5faeeec7-4c9203a4 Infected: Trojan-Downloader.Java.Agent.ff 1
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive1.pst Suspicious: Trojan-Spy.HTML.Fraud.gen 1
Selected area has been scanned.
Code:
ATTFilter Tuesday, July 6, 2010
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Tuesday, July 06, 2010 05:12:04
Records in database: 4244456
Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes
Scan area My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
Scan statistics
Objects scanned 155447
Threats found 2
Infected objects found 3
Suspicious objects found 1
Scan duration 02:08:42
File name Threat Threats count
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\45325901-55b9924c Infected: Trojan-Downloader.Java.Agent.ff 1
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56\1960d6f8-10e2868c Infected: Trojan-Downloader.Java.Agent.ff 1
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\5faeeec7-4c9203a4 Infected: Trojan-Downloader.Java.Agent.ff 1
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive1.pst Suspicious: Trojan-Spy.HTML.Fraud.gen 1
Selected area has been scanned.
[code] Combofix Logfile: Code:
ATTFilter ComboFix 10-07-05.03 - *** 06.07.2010 19:07:21.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1616 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\AVSredirect.dll
Infizierte Kopie von c:\windows\system32\drivers\redbook.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-06 bis 2010-07-06 ))))))))))))))))))))))))))))))
.
2010-07-06 00:47 . 2010-07-06 00:47 -------- d-----w- c:\programme\ESET
2010-07-05 18:58 . 2010-07-05 18:58 61440 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-62955402-n\decora-sse.dll
2010-07-05 18:58 . 2010-07-05 18:58 503808 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\msvcp71.dll
2010-07-05 18:58 . 2010-07-05 18:58 499712 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\jmc.dll
2010-07-05 18:58 . 2010-07-05 18:58 348160 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\msvcr71.dll
2010-07-05 18:58 . 2010-07-05 18:58 12800 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-62955402-n\decora-d3d.dll
2010-07-05 18:58 . 2010-07-05 18:58 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-07-05 18:58 . 2010-07-05 18:58 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-07-05 18:58 . 2010-07-05 18:58 -------- d-----w- c:\programme\Java
2010-07-05 11:48 . 2010-07-05 11:48 63488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-07-05 11:48 . 2010-07-05 11:48 52224 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-07-05 11:48 . 2010-07-05 11:48 117760 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-07-05 11:47 . 2010-07-05 11:47 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2010-07-05 11:47 . 2010-07-05 11:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-06-30 06:15 . 2010-06-30 06:15 -------- d-----w- c:\programme\Trend Micro
2010-06-29 10:35 . 2009-09-27 07:39 369152 ----a-w- c:\windows\system32\avisynth.dll
2010-06-29 10:35 . 2004-02-22 08:11 719872 ----a-w- c:\windows\system32\devil.dll
2010-06-29 10:35 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\yv12vfw.dll
2010-06-29 10:35 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\i420vfw.dll
2010-06-29 10:35 . 2010-06-29 10:35 -------- d-----w- c:\programme\AviSynth 2.5
2010-06-29 10:35 . 2008-03-16 13:30 216064 --sh--r- c:\windows\system32\nbDX.dll
2010-06-29 10:35 . 2007-02-21 11:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2010-06-29 10:35 . 2006-05-03 10:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2010-06-28 08:38 . 2010-06-28 08:38 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-06-28 08:38 . 2010-06-28 08:38 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 01:16 . 2009-02-03 12:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-04 07:46 . 2008-06-17 19:56 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-06-30 12:24 . 2009-12-29 08:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2010-06-23 17:29 . 2009-09-29 10:17 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Udso
2010-06-23 16:56 . 2010-03-22 12:36 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Unwyi
2010-05-18 19:42 . 2009-11-19 10:49 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2010-05-17 21:24 . 2010-04-24 20:18 -------- d-----w- c:\programme\Google
2010-04-29 13:39 . 2010-01-03 12:08 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-01-03 12:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2008-04-14 02:23 . 2010-01-14 11:24 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
2006-05-03 10:06 . 2010-06-29 10:35 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2010-06-29 10:35 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2010-06-29 10:35 216064 --sh--r- c:\windows\system32\nbDX.dll
.
------- Sigcheck -------
[-] 2009-02-04 12:45 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-02-04 12:45 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2009-02-04 24064]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "e:\superantispyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- e:\superantispyware\SASWINLO.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave"=DrvTrNTm.dll
"mixer"=DrvTrNTm.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Yahoo! Widgets.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Yahoo! Widgets.lnk
backup=c:\windows\pss\Yahoo! Widgets.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2008-06-19 15:20 57344 ----a-w- c:\windows\ALCMTR.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-02-04 09:04 4608 ----a-w- e:\alcohol 120\AxCmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- e:\avira\AntiVir Desktop\avgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2009-02-04 12:45 24064 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gStart]
2008-08-13 13:34 1891416 ----a-w- c:\garmin\gStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
2006-03-20 15:34 213936 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 12:57 153136 ----a-w- c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2008-09-17 22:55 13574144 ----a-w- c:\windows\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2008-09-17 22:55 86016 ----a-w- c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2008-09-17 22:55 1657376 ----a-w- c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-03-07 17:15 413696 ----a-w- c:\programme\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-12-26 15:20 18081280 ----a-w- c:\windows\RTHDCPL.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UniblueSpeedUpMyPC]
2009-04-29 09:45 614696 ----a-w- e:\uniblue\SpeedUpMyPC\Uniblue\SpeedUpMyPC\Launcher.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Skype\\Phone\\Skype.exe"=
R1 SASDIFSV;SASDIFSV;e:\superantispyware\sasdifsv.sys [17.02.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;e:\superantispyware\SASKUTIL.SYS [10.05.2010 20:41 67656]
R2 acedrv09;acedrv09;c:\windows\system32\drivers\acedrv09.sys [18.06.2007 15:10 373568]
R2 acehlp09;acehlp09;c:\windows\system32\drivers\acehlp09.sys [30.05.2007 18:54 201696]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;e:\adobe photo shop\PhotoshopElementsFileAgent.exe [16.09.2008 13:03 169312]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\avira\AntiVir Desktop\sched.exe [19.03.2009 13:45 108289]
R3 SndTAudio;SndTAudio;c:\windows\system32\drivers\SndTAudio.sys [29.12.2009 10:03 23096]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [01.10.2006 14:37 26624]
R3 TotRec7;Total Recorder WDM audio driver;c:\windows\system32\drivers\TotRec7.sys [26.03.2009 20:27 127496]
S1 SABKUTIL;SABKUTIL;\??\e:\sabkutil.sys --> e:\SABKUTIL.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.04.2010 22:18 136176]
SPI32.SYS [10.12.2008 16:02 16512]
S3 MovRVDrv32;MovRVDrv32;c:\windows\system32\drivers\MovRVDrv32.sys [16.11.2009 14:58 3768]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [03.10.2008 01:07 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [03.10.2008 01:20 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [03.10.2008 01:20 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [03.10.2008 01:56 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [03.10.2008 01:20 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [03.10.2008 01:55 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [03.10.2008 01:19 97704]
S3 SndTVideo;SndTVideo;c:\windows\system32\drivers\SndTVideo.sys [28.12.2009 20:20 3768]
S3 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [28.12.2009 20:20 200704]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.02.2009 10:14 717296]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
2009-03-04 15:32 8192 ----a-w- c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-24 20:18]
2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-24 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = http=127.0.0.1:5555
IE: Nach Microsoft &Excel exportieren - e:\micros~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: e:\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: e:\mozilla firefox\plugins\npstrlnk.dll
FF - plugin: e:\opera\program\plugins\npdsplay.dll
FF - plugin: e:\opera\program\plugins\NPOFFICE.DLL
FF - plugin: e:\opera\program\plugins\npwmsdrm.dll
FF - plugin: e:\real player\Netscape6\nppl3260.dll
FF - plugin: e:\real player\Netscape6\nprjplug.dll
FF - plugin: e:\real player\Netscape6\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-Adobe Reader Speed Launcher - e:\adobe acrobat reader\Reader\Reader_sl.exe
MSConfigStartUp-SunJavaUpdateSched - e:\java\bin\jusched.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-06 19:11
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(604)
e:\superantispyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2010-07-06 19:12:32
ComboFix-quarantined-files.txt 2010-07-06 17:12
Vor Suchlauf: 10 Verzeichnis(se), 13.487.841.280 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 13.594.722.304 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
- - End Of File - - F45B3561A2B275C983B651A259B315CC
Dazu muss ich sagen, dass ich wie in der Anleitung stand den AV-Guard beendete und alle Fenster schloss. Combofix starte wie beschrieben und installierte die Systemwiederherstellungskomponente. Dann kam aber sofort der Rootkit-Hinweis und das System fuhr runter um im abgesicherten Modus wieder hochzufahren. Ich hatte ja nun keine Möglichkeit den AV-Guard zu beenden (ich hatte vorher die Konfiguration durchgesehen, aber keine längerfristige Ausschaltemöglichkeit gefunden - es ging immer nur das Deaktivieren nach dem Hochfahren), so dass sofort zwei AV Meldungen kamen: In der Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\redbook.sys.vir' wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben In der Datei 'C:\Qoobox\32788R22FWJFW\redbook.sys' wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben Ich habe beide Zugriffe erlaubt, weil ich dachte, dass wird wohl Combofix sein. Richtig gehandelt? Oder soll ich Antivir deinstallieren und Combofix nochmal drüberjagen? Erster positiver Aspekt jetzt wenigstens: Windows Update geht wieder. Hab sofort mal die neuen fehlenden Updates gezogen und werde fortan das automatische Update zulassen. |
|
06.07.2010, 19:31
| #5 |
| /// Malware-holic | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht ja combofix löschen wir gleich. start programme zubehör, editor kopiere rein. DDS:: uInternet Settings,ProxyServer = http=127.0.0.1:5555 datei speichern unter, typ, alle, name, cfscript.txt speicherort, dort wo combofix.exe gespeichert ist, ziehe cfscript auf combofix, programm startet, log posten. einfach den avira guard mit rechtsklick auf den schirm deaktiviren. falls combofix ne meldung zeigt das er noch läuft, einfach ok wählen um die meldung zu ignorieren. |
|
06.07.2010, 20:22
| #6 |
| | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht ich weiß nicht, wo das logfile sein soll. ich habe die txt datei draufgeschoben, dann kam die Frage, ob ich als Benutzer oder Admin ausführen will, dann bin ich auf Benutzer geblieben und dann hab ich kurz nicht hingeschaut und es lief kein Prozess mehr. jetzt hab ichs wiederholt und es kommt: some files could not be created. Please close all applications, reboot Windows and restart this installation.  |
|
06.07.2010, 20:25
| #7 |
| /// Malware-holic | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht warum nicht als admin...? dann starte halt noch mal neu, erstelle die txt neu und versuchs noch mal. wenns nicht hilft lösche combofix.exe und lad sie erneut. |
|
06.07.2010, 20:28
| #8 |
| | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht weil ich in den Benutzerkonten nur mein Profil und ein gastprofil sehen kann. Bei mir steht zwar "Computeradministrator" drunter, aber ich habe/hatte kein Passwort und der Prozess hat kein "weiterklicken ohne Passworteingabe" akzeptiert. was hätte ich eingeben sollen? |
|
06.07.2010, 20:33
| #9 |
| /// Malware-holic | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht ok dann versuche es wie beschrieben bitte |
|
06.07.2010, 21:27
| #10 |
| | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht jetzt hats geklappt. hab combofix nochmal laufen lassen. dann die datei erstellt, dann draufgezogen. ist jetzt nochmal alles durchgelaufen. sollte das so sein? wozu war das jetzt gut? Combofix Logfile: Code:
ATTFilter ComboFix 10-07-06.01 - *** 06.07.2010 22:16:21.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1597 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: COMODO Antivirus *On-access scanning enabled* (Outdated) {043803A5-4F86-4ef7-AFC5-F6E02A79969B}
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-06 bis 2010-07-06 ))))))))))))))))))))))))))))))
.
2010-07-06 19:01 . 2010-07-06 19:01 -------- d-----w- C:\VritualRoot
2010-07-06 19:01 . 2010-07-06 19:43 874784 ----a-w- c:\windows\system32\drivers\sfi.dat
2010-07-06 18:40 . 2010-05-06 10:31 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-07-06 18:33 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-07-06 18:33 . 2009-10-23 15:28 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-07-06 18:30 . 2010-07-06 18:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo Downloader
2010-07-06 18:24 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-07-06 00:47 . 2010-07-06 00:47 -------- d-----w- c:\programme\ESET
2010-07-05 18:58 . 2010-07-05 18:58 61440 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-62955402-n\decora-sse.dll
2010-07-05 18:58 . 2010-07-05 18:58 503808 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\msvcp71.dll
2010-07-05 18:58 . 2010-07-05 18:58 499712 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\jmc.dll
2010-07-05 18:58 . 2010-07-05 18:58 348160 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1d22aa9a-n\msvcr71.dll
2010-07-05 18:58 . 2010-07-05 18:58 12800 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-62955402-n\decora-d3d.dll
2010-07-05 18:58 . 2010-07-05 18:58 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-07-05 18:58 . 2010-07-05 18:58 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-07-05 18:58 . 2010-07-05 18:58 -------- d-----w- c:\programme\Java
2010-07-05 11:48 . 2010-07-05 11:48 63488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-07-05 11:48 . 2010-07-05 11:48 52224 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-07-05 11:48 . 2010-07-05 11:48 117760 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-07-05 11:47 . 2010-07-05 11:47 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2010-07-05 11:47 . 2010-07-05 11:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-06-30 06:15 . 2010-06-30 06:15 -------- d-----w- c:\programme\Trend Micro
2010-06-29 10:35 . 2009-09-27 07:39 369152 ----a-w- c:\windows\system32\avisynth.dll
2010-06-29 10:35 . 2004-02-22 08:11 719872 ----a-w- c:\windows\system32\devil.dll
2010-06-29 10:35 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\yv12vfw.dll
2010-06-29 10:35 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\i420vfw.dll
2010-06-29 10:35 . 2010-06-29 10:35 -------- d-----w- c:\programme\AviSynth 2.5
2010-06-29 10:35 . 2008-03-16 13:30 216064 --sh--r- c:\windows\system32\nbDX.dll
2010-06-29 10:35 . 2007-02-21 11:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2010-06-29 10:35 . 2006-05-03 10:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2010-06-28 08:38 . 2010-06-28 08:38 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-06-28 08:38 . 2010-06-28 08:38 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-06-11 14:18 . 2010-06-11 14:18 5642000 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\TVU Networks\AutoUpgrade\TVUPlayer2.5.3.1.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 19:01 . 2008-09-07 20:24 -------- d-----w- c:\programme\Microsoft Silverlight
2010-07-06 18:57 . 2001-08-18 12:00 78642 ----a-w- c:\windows\system32\perfc007.dat
2010-07-06 18:57 . 2001-08-18 12:00 445516 ----a-w- c:\windows\system32\perfh007.dat
2010-07-06 01:16 . 2009-02-03 12:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-04 07:46 . 2008-06-17 19:56 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-06-30 12:24 . 2009-12-29 08:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2010-06-23 17:29 . 2009-09-29 10:17 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Udso
2010-06-23 16:56 . 2010-03-22 12:36 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Unwyi
2010-05-18 19:42 . 2009-11-19 10:49 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2010-05-17 21:24 . 2010-04-24 20:18 -------- d-----w- c:\programme\Google
2010-05-06 10:31 . 2001-08-18 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2001-08-18 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-29 13:39 . 2010-01-03 12:08 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-01-03 12:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-20 05:29 . 2001-08-18 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2008-04-14 02:23 . 2010-01-14 11:24 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
2006-05-03 10:06 . 2010-06-29 10:35 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2010-06-29 10:35 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2010-06-29 10:35 216064 --sh--r- c:\windows\system32\nbDX.dll
.
------- Sigcheck -------
[-] 2009-02-04 12:45 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-02-04 12:45 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
((((((((((((((((((((((((((((( SnapShot_2010-07-06_19.51.41 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-06 19:52 . 2010-07-06 19:52 756736 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Data.Entity.#\d4990681ce373d81a52b231ee4c4afea\System.Data.Entity.Design.ni.dll
+ 2010-07-06 19:52 . 2010-07-06 19:52 9924096 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Data.Entity\6abf820d8ec57a0561c3367727d274df\System.Data.Entity.ni.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2009-02-04 24064]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "e:\superantispyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- e:\superantispyware\SASWINLO.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave"=DrvTrNTm.dll
"mixer"=DrvTrNTm.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Skype\\Phone\\Skype.exe"=
R1 SASDIFSV;SASDIFSV;e:\superantispyware\sasdifsv.sys [17.02.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;e:\superantispyware\SASKUTIL.SYS [10.05.2010 20:41 67656]
R2 acedrv09;acedrv09;c:\windows\system32\drivers\acedrv09.sys [18.06.2007 15:10 373568]
R2 acehlp09;acehlp09;c:\windows\system32\drivers\acehlp09.sys [30.05.2007 18:54 201696]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;e:\adobe photo shop\PhotoshopElementsFileAgent.exe [16.09.2008 13:03 169312]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\avira\AntiVir Desktop\sched.exe [19.03.2009 13:45 108289]
R3 SndTAudio;SndTAudio;c:\windows\system32\drivers\SndTAudio.sys [29.12.2009 10:03 23096]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [01.10.2006 14:37 26624]
R3 TotRec7;Total Recorder WDM audio driver;c:\windows\system32\drivers\TotRec7.sys [26.03.2009 20:27 127496]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.02.2009 10:14 717296]
S1 SABKUTIL;SABKUTIL;\??\e:\sabkutil.sys --> e:\SABKUTIL.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.04.2010 22:18 136176]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [10.12.2008 16:02 16512]
S3 MovRVDrv32;MovRVDrv32;c:\windows\system32\drivers\MovRVDrv32.sys [16.11.2009 14:58 3768]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [03.10.2008 01:07 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [03.10.2008 01:20 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [03.10.2008 01:20 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [03.10.2008 01:56 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [03.10.2008 01:20 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [03.10.2008 01:55 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [03.10.2008 01:19 97704]
S3 SndTVideo;SndTVideo;c:\windows\system32\drivers\SndTVideo.sys [28.12.2009 20:20 3768]
S3 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [28.12.2009 20:20 200704]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
2009-03-04 15:32 8192 ----a-w- c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-24 20:18]
2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-24 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - e:\micros~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y8dtv2ed.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-06 22:18
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(604)
e:\superantispyware\SASWINLO.DLL
- - - - - - - > 'explorer.exe'(2696)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2010-07-06 22:19:28
ComboFix-quarantined-files.txt 2010-07-06 20:19
ComboFix2.txt 2010-07-06 20:12
ComboFix3.txt 2010-07-06 19:53
ComboFix4.txt 2010-07-06 17:12
Vor Suchlauf: 12 Verzeichnis(se), 12.823.101.440 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 12.807.069.696 Bytes frei
- - End Of File - - 15A3EED42E3FF0EED8BEEDCEB44DDD12
|
|
07.07.2010, 11:36
| #11 |
| /// Malware-holic | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht bei dir war ein proxy server eingetragen, der dort nicht hingehört, den haben wir damit gelöscht. avira avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
|
07.07.2010, 13:18
| #12 |
| | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht Haben wir jetzt die Datei aus der einen Quarantäne (COMBOFIX) in die andere (AVirus) geschoben? Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 7. Juli 2010 12:56
Es wird nach 2301243 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : ***
Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 06:53:08
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 06:53:16
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 06:53:16
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 06:53:16
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 06:53:16
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 06:53:16
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 06:53:16
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 06:53:16
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 06:53:17
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 06:53:18
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 06:53:18
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 06:53:19
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 06:53:20
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 06:53:21
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 06:53:21
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 06:53:22
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 10:55:58
VBASE022.VDF : 7.10.9.20 2048 Bytes 06.07.2010 10:55:58
VBASE023.VDF : 7.10.9.21 2048 Bytes 06.07.2010 10:55:58
VBASE024.VDF : 7.10.9.22 2048 Bytes 06.07.2010 10:55:58
VBASE025.VDF : 7.10.9.23 2048 Bytes 06.07.2010 10:55:58
VBASE026.VDF : 7.10.9.24 2048 Bytes 06.07.2010 10:55:58
VBASE027.VDF : 7.10.9.25 2048 Bytes 06.07.2010 10:55:58
VBASE028.VDF : 7.10.9.26 2048 Bytes 06.07.2010 10:55:59
VBASE029.VDF : 7.10.9.27 2048 Bytes 06.07.2010 10:55:59
VBASE030.VDF : 7.10.9.28 2048 Bytes 06.07.2010 10:55:59
VBASE031.VDF : 7.10.9.30 11776 Bytes 07.07.2010 10:55:59
Engineversion : 8.2.4.10
AEVDF.DLL : 8.1.2.0 106868 Bytes 07.07.2010 06:53:34
AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 07.07.2010 06:53:34
AESCN.DLL : 8.1.6.1 127347 Bytes 07.07.2010 06:53:32
AESBX.DLL : 8.1.3.1 254324 Bytes 07.07.2010 06:53:34
AERDL.DLL : 8.1.4.6 541043 Bytes 07.07.2010 06:53:32
AEPACK.DLL : 8.2.2.5 430453 Bytes 07.07.2010 06:53:31
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 07.07.2010 06:53:30
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 07.07.2010 06:53:30
AEHELP.DLL : 8.1.11.6 242038 Bytes 07.07.2010 06:53:26
AEGEN.DLL : 8.1.3.13 381300 Bytes 07.07.2010 06:53:25
AEEMU.DLL : 8.1.2.0 393588 Bytes 07.07.2010 06:53:25
AECORE.DLL : 8.1.15.3 192886 Bytes 07.07.2010 06:53:24
AEBB.DLL : 8.1.1.0 53618 Bytes 07.07.2010 06:53:24
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: E:\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, A:, I:, G:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Mittwoch, 7. Juli 2010 12:56
Der Suchlauf nach versteckten Objekten wird begonnen.
ctfmon.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
ctfmon.exe
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '462' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <System>
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\redbook.sys.vir
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
C:\System Volume Information\_restore{D97B6483-E292-4A6B-8210-C59EBD29F4A5}\RP92\A0014821.sys
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
Beginne mit der Suche in 'D:\' <Auslagerung>
Beginne mit der Suche in 'E:\' <Programme>
E:\7-Zip\Uninstall.exe
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
E:\@Install-Links\7z464.exe
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
Beginne mit der Suche in 'F:\' <Daten>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{D97B6483-E292-4A6B-8210-C59EBD29F4A5}\RP92\A0014821.sys
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f23cd2f.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\redbook.sys.vir
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5748e2dd.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 7. Juli 2010 13:48
Benötigte Zeit: 51:22 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
12616 Verzeichnisse wurden überprüft
320052 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
320050 Dateien ohne Befall
1588 Archive wurden durchsucht
3 Warnungen
2 Hinweise
35334 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden
|
|
07.07.2010, 13:44
| #13 |
| /// Malware-holic | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht das macht überhaupt nichts :-) gib mal nen zwischenstand, wie der pc läuft, ob noch probs auftreten /traten, etc |
|
07.07.2010, 14:13
| #14 |
| | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht Also so weit ist alles gut. PC läuft gut, ich schreibe ungetrübt an der Diss, keine sich selbst öffnenden Fenster mehr. Bevor ich auf deine Ansage hin das AntiVir hab laufen lassen, hatte ich schon einen komplett Scan mit Malwarebytes und SUPERAntiSpyware gemacht, beide ohne Befund. Ich hätte da noch so einige Fragen bezüglich der installierten und weiter zu verwendenden oder zu deinstallierenden Programme (ESET? Combofix?) und noch so ein, zwei generelle Fragen (Java, Firewall, Antivirus), falls du soweit zufrieden bist und den Rückzug antrittst. |
|
07.07.2010, 14:48
| #15 |
| /// Malware-holic | Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht wir löschen die entfernungstools gleich. desweiteren sollst du dann ein programm instalieren, secunia, welches dir hilft, die programme aktuell zu halten. dann stell mal deine fragen :-) |
|
| Themen zu Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht |
| active desktop, anfang, antivir, antivir guard, avira, bho, desktop, einstellungen, excel, explorer, fehler, gupdate, hijack, hijackthis, hkus\s-1-5-18, logfile, malwarebytes' anti-malware, neue seite, neustart, plug-in, rundll, sekunden, sich automatisch, software, superantispyware, symantec, system, temp, trojaner, trojaner-board, viren, werbung, windows, windows xp, öffnet sich automatisch |
Linear-Darstellung
