| |
| |||||||
Log-Analyse und Auswertung: Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanagerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
07.07.2010, 22:37
| #1 |
 |  Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager hallo habe folgende zwei (eventuell hängts aber auch zusammen) probleme: hatte bei internetseiten plötzlich eine art werbe ton der sich von selbst eingeschaltet hatte (wenn ich nicht irre war das der aound eines popups, den ich mal irgendwo gehört habe). also schaute ich im taskmanager nach dingen die ich für ungewöhnlich hielt und entdeckte dabei die iexplorer.exe und wunerte mich da ich den firefox verwende. also den prozess abgebrochen, was aber nichts nutze weil es von selbst wieder kam (der prozess aktiviert sich von sebst) nach einer systemwiederherstellung (habe ich gemacht nachdem ich mit den antworten im internet nicht zurecht kam) war der werbe ton zwar weg, allerdings schaltet sich dafür nun der wave regler im windows mixer einfach selbst ganz aus. auch bei einem spiel bin ich plötzlich immer wieder rausgeflogen... was vorher bei diesem nie vorkam.... hier mal der log: hoffe habe alles was zu editieren ist auch wirklich editiert und nichts uebersehen.... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:24:17, on 07.07.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17055) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\AVG\AVG9\avgchsvx.exe C:\Programme\AVG\AVG9\avgrsx.exe C:\Programme\AVG\AVG9\avgcsrvx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\AVG\AVG9\avgwdsvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVG\AVG9\avgemc.exe C:\Programme\AVG\AVG9\avgnsx.exe C:\Programme\AVG\AVG9\avgcsrvx.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\PROGRA~1\AVG\AVG9\avgtray.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\user~1\****~1\Temp\Rar$EX00.641\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\****\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgemc.exe O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 5372 bytes waäre klasse wenn jemanden dazu was einfällt oder mir man wenigstens sagen kann ob es sich um nen virus handelt oder ob es an ner einstellung im system liegen könnte.. MfG lolwiedoll  |
|
07.07.2010, 22:42
| #2 |
| | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager hi habe gerade nen thread aufgemacht weil ich auch das problem habe das mein wve regler von alleine zurückgeht (auf 0) und ich diese nervige iexplorer.exe im taskmanage habe eien anleitung für den zwizzor hier im board gefunden aber net wirklich begriffen :8 (mea culpa) im erwähnten thread hab ich meinen log file gepostet wenn da jemandwaszu weiss (oder ne simplere anleitung parat hätte) wäre klasse...
__________________MfG lolwiedoll edit: ach ja hin und wieder öffnet sich '(obwohl firefox mein standartbowser ist) ein Expolrer fenster mit verschiedener werbung....... Bootkit Remover version 1.0.0.1 (c) 2009 eSage Lab www.esagelab.com \\.\C: -> \\.\PhysicalDrive0 MD5: 454f8f8f464d74f8b4b6306cbff41597 Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Press any key to quit... Geändert von lolwiedoll (07.07.2010 um 22:53 Uhr) |
|
08.07.2010, 01:22
| #3 |
| | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager Edit: (wo is der edit button ? )
__________________also der "Werbeton" ist wieder da  hört sich wie n paar trommeln an ) :Phmmm hab auch über panda n scan gemacht und ne loaer .exe dabei gefunden die hab ich gelöcht hat aber nichts geholfen wäre super wenns dazu ne lösung gibt, da ich vor kurzem erst mein sytem neu aufgespielt hatte und es nicht schon wieder macen muessen will....... MfG lolwiedoll |
|
08.07.2010, 10:20
| #4 |
| | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray |
|
08.07.2010, 10:46
| #5 |
| /// Malware-holic   | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager die einträge sind in ordnung, lasse dich von Breedfight verunsichern. download den bootkit remover: esage lab - resources entpacke ihn in einen eigenen ordner, doppelklicke die remover.exe poste das ergebniss |
|
08.07.2010, 14:16
| #6 |
| | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager Bootkit Remover version 1.0.0.1 (c) 2009 eSage Lab esage lab - main \\.\C: -> \\.\PhysicalDrive0 MD5: 6def5ffcbcdbdb4082f1015625e597bd Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found) Press any key to quit... muss aber dazu sagen , dass ich im cmd unter ausführen schon den befehl remover.exe fix ..... ausgeführt habe vorher sah es etwas anders aus :P aaaber etwas neues ist hinzu gekommen heute hat mein rechner angeblich ne neu angechlossene hardware gefunden und installiert ... allerdings hab ich nix neus angeschlossen lol.... die bedrohungen die spybot gefunden hat hab ich auc mit dem tool bearbeitet ichwees nimmer weiter) |
|
08.07.2010, 14:19
| #7 | |
| | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanagerZitat:
----->Bootkit Remover version 1.0.0.1 (c) 2009 eSage Lab www.esagelab.com \\.\C: -> \\.\PhysicalDrive0 MD5: 6def5ffcbcdbdb4082f1015625e597bd Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found) Press any key to quit... aber das problem bleibt jemad ne idee ?? |
|
08.07.2010, 14:20
| #8 |
| /// Malware-holic | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager bitte höre auf, irgendwelche schritte vonselbst auszuführen das stört nur die arbeit und führt evtl zu problemen bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
08.07.2010, 14:26
| #9 | |
| | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanagerZitat:
aber gut kann das gerne lles in einem selbst eröffneten lassen  .............. |
|
08.07.2010, 15:06
| #10 |
| | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager soderle. erstmal danke das du dich meiner annimmst hier der log file Combofix Logfile: Code:
ATTFilter ComboFix 10-07-07.02 - lolwiedoll 08.07.2010 15:40:51.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1565 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\lolwiedoll\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\xpsp1hfm.log
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_OULTRAF
((((((((((((((((((((((( Dateien erstellt von 2010-06-08 bis 2010-07-08 ))))))))))))))))))))))))))))))
.
2010-07-08 00:43 . 2010-07-08 01:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-08 00:43 . 2010-07-08 00:43 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-07-07 23:19 . 2009-10-07 13:28 17544 ------w- c:\windows\system32\drivers\RkPavproc1.sys
2010-07-07 23:16 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-07-07 23:16 . 2010-07-07 23:16 -------- d-----w- c:\programme\Panda Security
2010-07-07 17:02 . 2010-07-07 17:02 -------- d-----w- c:\windows\system32\wbem\Repository
2010-07-07 17:01 . 2010-07-07 17:01 -------- d-----w- c:\programme\Gemeinsame Dateien\PCSuite
2010-07-07 17:01 . 2010-07-07 17:01 -------- d-----w- c:\programme\Gemeinsame Dateien\Nokia
2010-07-07 16:58 . 2010-07-07 17:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
2010-07-07 16:58 . 2010-07-07 17:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Vorlagen
2010-07-07 16:58 . 2010-07-07 17:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2010-07-07 16:58 . 2010-07-07 17:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2010-07-07 16:58 . 2010-05-23 18:34 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-07-07 16:58 . 2010-07-07 17:01 -------- d-s---w- c:\dokumente und einstellungen\Administrator
2010-07-07 14:03 . 2010-07-07 14:03 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2010-07-07 13:48 . 2010-07-07 13:48 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-06-26 18:18 . 2010-06-26 18:41 -------- d-----w- c:\programme\Mass Effect
2010-06-19 17:36 . 2010-06-19 17:36 -------- d-----w- c:\programme\Reality Pump
2010-06-19 11:21 . 2010-06-26 18:31 -------- d-----w- c:\programme\Gemeinsame Dateien\BioWare
2010-06-12 19:58 . 2010-06-12 19:58 -------- d-----w- c:\programme\Vampire The Masquerade Bloodlines
2010-06-12 19:58 . 2010-06-12 19:58 -------- d-----w- c:\windows\Vampire The Masquerade Bloodlines
2010-06-08 17:14 . 2010-06-08 17:14 -------- d-----w- C:\Program Files
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-07 17:02 . 2010-05-28 13:11 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-07-07 14:34 . 2010-05-19 11:37 -------- d-----w- c:\programme\Nokia
2010-07-07 14:33 . 2010-05-28 13:11 -------- d-----w- c:\programme\DVDVideoSoft
2010-06-27 14:48 . 2010-05-17 13:07 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Skype
2010-06-27 14:47 . 2010-05-17 13:08 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\skypePM
2010-06-25 18:43 . 2010-05-21 15:28 -------- d-----w- c:\programme\JDownloader
2010-06-24 09:23 . 2002-08-29 12:00 80108 ----a-w- c:\windows\system32\perfc007.dat
2010-06-24 09:23 . 2002-08-29 12:00 448800 ----a-w- c:\windows\system32\perfh007.dat
2010-06-19 17:39 . 2010-05-14 23:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-06-16 16:04 . 2010-05-16 13:27 -------- d-----w- c:\programme\ICQ6.5
2010-06-12 20:48 . 2010-05-14 23:51 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-06-08 17:14 . 2010-05-14 22:59 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-06-03 20:16 . 2010-06-03 20:16 279712 ----a-w- c:\windows\system32\drivers\atksgt.sys
2010-06-03 20:16 . 2010-06-03 20:16 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2010-06-03 19:49 . 2010-06-03 19:49 -------- d-----w- c:\programme\Playlogic
2010-06-03 15:25 . 2010-06-03 15:25 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\dvdcss
2010-06-03 15:11 . 2010-05-16 13:18 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\ICQ
2010-06-03 13:36 . 2010-06-02 20:53 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-03 13:36 . 2010-06-02 20:53 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-06-02 20:53 . 2010-06-02 20:53 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-06-02 20:53 . 2010-06-02 20:53 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-06-02 20:53 . 2010-06-02 20:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-06-02 17:58 . 2010-05-19 13:55 -------- d-----w- c:\programme\Ubisoft
2010-06-02 16:39 . 2010-05-15 12:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ubisoft
2010-06-01 18:53 . 2010-06-01 19:46 1508973207 ----a-w- C:\TATW_1.0-plus-hotfix_001.zip
2010-06-01 18:46 . 2010-06-01 18:46 162879588 ----a-w- C:\TATW_1.3_Patch.exe
2010-06-01 18:45 . 2010-06-01 18:45 787968830 ----a-w- C:\TATW_1.2_Patch.exe
2010-06-01 18:21 . 2010-06-01 18:21 1967920 ----a-w- C:\TATW_1.4.1_Bugfixer.exe
2010-06-01 18:20 . 2010-06-01 18:20 404601431 ----a-w- C:\TATW_1.4_Patch.exe
2010-06-01 18:18 . 2010-06-01 18:18 402868399 ----a-w- C:\TATW_1.1b_Patch.exe
2010-06-01 15:21 . 2010-05-28 23:01 -------- d-----w- c:\programme\SEGA
2010-06-01 15:12 . 2010-06-01 15:12 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\InstallShield
2010-05-29 14:14 . 2010-05-15 12:52 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Ubisoft
2010-05-28 23:17 . 2010-05-28 23:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SEGA Corporation
2010-05-28 23:01 . 2010-05-28 23:01 -------- d-----w- c:\programme\AGEIA Technologies
2010-05-28 19:14 . 2010-05-28 19:14 -------- d-----w- c:\programme\illusion
2010-05-28 19:13 . 2010-05-16 15:02 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\DAEMON Tools Lite
2010-05-26 16:19 . 2010-05-26 16:15 -------- d-----w- c:\programme\Passware
2010-05-26 15:15 . 2010-05-26 15:14 -------- d-----w- c:\programme\RouterControl
2010-05-21 19:26 . 2010-05-21 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-05-21 19:15 . 2010-05-21 19:15 57409 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ControlPanel\Uninstaller.exe
2010-05-21 19:15 . 2010-05-21 19:15 54101 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MPEG2Plugin\Uninstaller.exe
2010-05-21 19:15 . 2010-05-21 19:15 52963 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-05-21 19:15 . 2010-05-21 19:15 54073 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-05-21 19:15 . 2010-05-21 19:15 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2010-05-21 19:15 . 2010-05-21 19:15 56969 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-05-21 19:14 . 2010-05-21 19:16 754984 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-05-21 19:14 . 2010-05-21 13:56 1180952 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-05-21 16:41 . 2010-05-21 16:41 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\ATI
2010-05-21 16:41 . 2010-05-21 16:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2010-05-21 16:33 . 2010-05-14 23:17 -------- d-----w- c:\programme\ATI Technologies
2010-05-21 15:28 . 2010-05-21 15:28 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-05-21 15:28 . 2010-05-21 15:28 -------- d-----w- c:\programme\Java
2010-05-21 15:28 . 2010-05-21 15:28 152576 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2010-05-21 13:56 . 2010-05-15 12:32 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\DivX
2010-05-19 18:37 . 2010-05-19 18:37 -------- d--h--r- c:\dokumente und einstellungen\****\Anwendungsdaten\SecuROM
2010-05-19 13:59 . 2010-05-19 13:59 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-05-19 11:42 . 2010-05-19 11:38 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Nokia
2010-05-19 11:38 . 2010-05-19 11:38 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\PC Suite
2010-05-19 11:38 . 2010-05-19 11:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2010-05-19 11:37 . 2010-05-19 11:37 -------- d-----w- c:\programme\DIFX
2010-05-19 11:37 . 2010-05-19 11:37 -------- d-----w- c:\programme\PC Connectivity Solution
2010-05-19 11:37 . 2010-05-19 11:37 95232 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\pcswpcsi.exe
2010-05-19 11:37 . 2010-05-19 11:37 8192 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstCCD.exe
2010-05-19 11:37 . 2010-05-19 11:37 61440 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-05-19 11:37 . 2010-05-19 11:37 10240 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstPCS.exe
2010-05-19 11:36 . 2010-05-19 11:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2010-05-19 11:36 . 2010-05-19 11:37 34503088 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Nokia_PC_Suite_ger_web.exe
2010-05-18 12:45 . 2010-05-15 18:19 13104 ----a-w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-18 12:33 . 2010-05-18 12:33 -------- d-----w- c:\programme\MSBuild
2010-05-18 12:33 . 2010-05-18 12:33 -------- d-----w- c:\programme\Reference Assemblies
2010-05-17 13:08 . 2010-05-17 13:08 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-05-17 13:07 . 2010-05-17 13:07 -------- d-----r- c:\programme\Skype
2010-05-17 13:07 . 2010-05-17 13:07 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2010-05-17 13:07 . 2010-05-17 13:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-05-16 16:03 . 2010-05-16 16:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vodafone
2010-05-16 15:04 . 2010-05-16 15:03 -------- d-----w- c:\programme\DAEMON Tools Lite
2010-05-16 15:03 . 2010-05-16 15:03 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-05-16 15:02 . 2010-05-16 15:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2010-05-16 13:56 . 2010-05-16 13:56 -------- d-----w- c:\programme\AVG
2010-05-16 13:28 . 2010-05-16 13:17 -------- d-----w- c:\programme\ICQ6
2010-05-16 13:12 . 2010-05-16 13:12 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Miranda Fusion
2010-05-16 13:11 . 2010-05-16 13:11 -------- d-----w- c:\programme\MirandaFusion
2010-05-15 18:48 . 2010-05-15 18:48 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\FLEXnet
2010-05-15 18:40 . 2010-05-15 18:40 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Bytemobile
2010-05-15 18:40 . 2010-05-15 18:40 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Vodafone
2010-05-15 18:40 . 2010-05-15 18:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2010-05-15 18:40 . 2010-05-15 18:40 8464 ----a-w- c:\windows\system32\SpOrder.dll
2010-05-15 18:35 . 2010-05-14 22:49 76487 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2010-05-15 12:45 . 2010-05-15 12:45 17801 ----a-w- c:\windows\system32\drivers\AegisP.sys
2010-05-15 12:44 . 2010-05-15 12:44 -------- d-----w- c:\programme\USRobotics
2010-05-15 12:44 . 2010-05-14 22:59 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-05-15 12:28 . 2010-05-15 12:28 0 ----a-w- c:\windows\nsreg.dat
2010-05-14 23:58 . 2010-05-14 23:58 0 ----a-w- c:\windows\ativpsrm.bin
2010-05-14 23:45 . 2010-05-14 23:45 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\TuneUp Software
2010-05-14 23:45 . 2010-05-14 23:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-05-14 23:45 . 2010-05-14 23:45 -------- d-----w- c:\programme\TuneUp Utilities 2007
2010-05-14 23:30 . 2010-05-14 23:30 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\vlc
2010-05-14 23:29 . 2010-05-14 23:29 -------- d-----w- c:\programme\VideoLAN
2010-05-14 23:06 . 2010-05-14 23:06 -------- d-----w- c:\programme\Analog Devices
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2007-03-16 868352]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-03 61440]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-03 2065248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-06-02 20:53 12464 ----a-w- c:\windows\system32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ACS"=2 (0x2)
"ServiceLayer"=3 (0x3)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Miranda Fusion"=c:\programme\MirandaFusion\mfstart.exe
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" -autorun
"Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"c:\\Programme\\JDownloader\\JDownloader.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\AVG\\AVG9\\avgemc.exe"=
"c:\\Programme\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [08.07.2010 01:16 28552]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [02.06.2010 22:53 216200]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [02.06.2010 22:53 242896]
R2 avg9emc;AVG Free E-mail Scanner;c:\programme\AVG\AVG9\avgemc.exe [02.06.2010 22:53 916760]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [02.06.2010 22:53 308064]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [15.05.2010 20:42 112640]
S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\drivers\ewusbfake.sys [15.05.2010 21:29 102656]
S3 USRPCI;USRobotics Wireless PCI Adapter Service;c:\windows\system32\drivers\USRPCI.sys [15.05.2010 14:44 469216]
S3 wlanndi5;wlanndi5 NDIS Protocol Driver;c:\windows\system32\wlanndi5.sys [21.04.2004 17:51 16384]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.05.2010 17:03 691696]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-06-25 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-08-02 10:40]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\****\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\lcifzhve.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://de.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_de&p=
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
AddRemove-HijackThis - c:\dokume~1\****~1\LOKALE~1\Temp\Rar$EX00.641\HijackThis.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-07-08 15:50
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-448539723-1972579041-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:cb,bf,4c,18,cc,da,9b,19,70,20,b8,71,39,1a,35,e7,d1,e2,62,be,6e,
ca,f6,ad,47,1e,03,bb,a5,01,08,40,b1,5b,e1,a1,fa,35,c8,33,a1,77,f8,75,21,37,\
"rkeysecu"=hex:70,8a,1e,ea,5d,2e,2a,1c,08,b1,5b,9c,8f,42,74,30
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\AVG\AVG9\avgchsvx.exe
c:\programme\AVG\AVG9\avgrsx.exe
c:\programme\AVG\AVG9\avgcsrvx.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\programme\AVG\AVG9\avgnsx.exe
c:\programme\AVG\AVG9\avgcsrvx.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-08 15:54:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-07-08 13:54
Vor Suchlauf: 5.195.096.064 Bytes frei
Nach Suchlauf: 5.543.182.336 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
- - End Of File - - BD2F84A85BFEC142BC87072BD29592D1
|
|
08.07.2010, 15:06
| #11 |
| /// Malware-holic | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager nein das ist nur unübersichtlich :-) bitte also weiter mit combofix |
|
08.07.2010, 15:08
| #12 | |
| | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanagerZitat:
)..... p.s. die iexplore.exe is ausm taskmanager abgehauen...... |
|
08.07.2010, 15:15
| #13 |
| /// Malware-holic | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager ok, spybot kann unsere arbeit stören, deinstaliere es erst mal, starte dann neu. öffne arbeitsplatz, c: dort suche den ordner qoobox. rechtsklick zu qoobox.rar oder zip hinzufügen und das zu uns hochladen. http://www.trojaner-board.de/54791-a...ner-board.html wie unter punkt 2. wenn erledigt, gib bescheid. nun bitte Malwarebytes instalieren. http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html öffnen, registerkarte aktualisierung, programm updaten. bitte schalte alle laufenden programme aus, auch avg, trenne die internetverbindung durch das ziehen des netzwerkabels, bzw wlan ausschalten. dann registerkarte scan, komplett scan, nicht am pc arbeiten, funde löschen, log posten. |
|
08.07.2010, 15:28
| #14 | |
| | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanagerZitat:
ich mach dann mal weiter im programm |
|
08.07.2010, 17:34
| #15 | |
| | Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager soderle nachde es durchgelaufen ist (ui das war lamg  )hier der log: : : ---> Zitat:
|
|
| Themen zu Wave (in der lautstärkereglung (XP) ) schaltet sich selbständig ab. + iexplorer.exe im taskmanager |
| adobe, avg, avg free, bho, converter, e-mail, einstellungen, firefox, hijack, hijackthis, hkus\s-1-5-18, icq, iexplorer.exe, internet explorer, microsoft, mozilla, mp3, plug-in, popups, programme, prozess, seiten, software, taskmanager, temp, virus, von selbst, windows, windows xp |
Linear-Darstellung
