| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXEWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
26.07.2010, 16:20
| #1 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Wenn die von Malwarebytes in Qurantäne geschoben wurden ist das ok!! Erstell bitte ein neues OTL-Logfile und poste es. Die Extras.txt brauch ich aber nicht nochmal.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
26.07.2010, 17:24
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
__________________Code:
ATTFilter :OTL
O4 - HKCU..\Run: [sysbrowseClient] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: cdpcqddtutsahivzkslgTaskMgr = 0
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found
O32 - AutoRun File - [2008.02.17 16:31:00 | 000,000,100 | ---- | M] () - G:\AUTORUN.INF -- [ NTFS ]
O33 - MountPoints2\{85ebf1a2-df19-11dc-a064-88964e928636}\Shell\AutoRun\command - "" = F:\autorun.bat -- File not found
[2010.07.21 20:18:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\lowsec
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ |
|
26.07.2010, 18:14
| #3 |
 | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE So,back here again.
__________________Hab nun den"Fixlauf" durchgeführt!Der wurde auch erfolgreich beendet. Nach Beendigung hab ich dann OK gedrückt und der PC ist automatisch runtergefahren und dann wieder hoch.Nach dem Neustart kam eine Meldung er könne OTL nicht finden oder starten!? Hab das dann weggedrückt!?Hab ich was falsch gemacht!????? Hab irgendwie nix gefunden,was ich posten kann!?!? |
|
26.07.2010, 22:28
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Hast Du einen Ordner C:\_OTL ?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.07.2010, 16:27
| #5 |
| | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Hallo Arne, hab folgendes gefunden: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\sysbrowseClient deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\cdpcqddtutsahivzkslgTaskMgr deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully. G:\AUTORUN.INF moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{85ebf1a2-df19-11dc-a064-88964e928636}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85ebf1a2-df19-11dc-a064-88964e928636}\ not found. File F:\autorun.bat not found. C:\WINDOWS\System32\lowsec folder moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 143837 bytes User: Sebastian ->Temp folder emptied: 386959376 bytes ->Temporary Internet Files folder emptied: 9120985 bytes ->Java cache emptied: 96584442 bytes ->FireFox cache emptied: 99304518 bytes ->Flash cache emptied: 1843 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 4764359 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 569,00 mb OTL by OldTimer - Version 3.2.9.1 log created on 07262010_185002 Ist das,das was du brauchst!? |
|
27.07.2010, 16:42
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE |
|
29.07.2010, 14:28
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Ad-Aware kannst Du auch getrost deinstallieren, das Tool ist nicht notwendig.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
29.07.2010, 19:32
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mscj.exe]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
Folder::
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
30.07.2010, 14:56
| #9 |
| | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Servus Arne, Wie schon geschildert,bin ich zu doof um den ComboFix auf dem Desktop zu speichern!? Irgendwie kommt bei mir nie das Fenster mit den Auswahlmöglichkeiten. Es kommt nur: Datei Speichern/Abbrechen.Wenn ich dann Speichern drück,speichert er automatisch unter "Eigene Dateien". Ähem,hüstel,hüstel. Ich find kein Notpad bei mir. (War ursprünglich mal der PC von nem Kumpel) |
|
30.07.2010, 15:31
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Rechtsklick auf den Link => Ziel speichern unter
__________________ Logfiles bitte immer in CODE-Tags posten |
|
31.07.2010, 18:25
| #11 |
| | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE So,hab jetzt,denk ich,alles hinbekommen!? Hier der neueste logfile: Combofix Logfile: Code:
ATTFilter ComboFix 10-07-31.01 - Sebastian 31.07.2010 19:03:05.2.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Sebastian\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sebastian\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-28 bis 2010-07-31 ))))))))))))))))))))))))))))))
.
2010-07-22 18:53 . 2010-07-22 18:53 -------- d-s---w- c:\dokumente und einstellungen\Sebastian\UserData
2010-07-22 13:10 . 2010-07-22 13:10 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2010-07-21 18:38 . 2010-07-22 19:25 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-07-21 18:38 . 2010-07-22 19:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-21 18:34 . 2010-07-21 18:34 16409960 ----a-w- C:\spybotsd162.exe
2010-07-21 17:39 . 2010-07-21 17:39 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\TeamViewer
2010-07-21 17:01 . 2010-07-21 17:01 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Uniblue
2010-07-21 15:03 . 2010-07-22 19:39 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\sysbrowseClient
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-29 17:06 . 2010-07-22 19:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-07-29 15:16 . 2009-06-23 20:10 1 ----a-w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-28 16:49 . 2010-07-28 16:49 -------- d-----w- c:\programme\CCleaner
2010-07-23 18:30 . 2010-07-23 18:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-07-23 18:21 . 2010-07-23 18:21 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Malwarebytes
2010-07-23 18:20 . 2010-07-23 18:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-22 19:22 . 2010-07-22 19:22 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-07-22 18:37 . 2009-08-31 19:05 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\HPAppData
2004-08-03 22:58 . 2008-02-17 10:51 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
------- Sigcheck -------
[-] 2004-08-10 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((( SnapShot@2010-07-29_17.37.01 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-31 16:52 . 2010-07-31 16:52 16384 c:\windows\Temp\Perflib_Perfdata_66c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PtiuPbmd"="ptipbm.dll" [2003-05-20 24576]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-27 1454080]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-23 149280]
"CTHelper"="CTHELPER.EXE" [2005-06-18 16384]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Sebastian^Startmenü^Programme^Autostart^Antimalware Doctor.lnk]
path=c:\dokumente und einstellungen\Sebastian\Startmenü\Programme\Autostart\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mscj.exe]
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA\mscj.exe [BU]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2006-10-22 11:22 86016 ----a-w- c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
2000-05-11 00:00 90112 ------w- c:\windows\Updreg.EXE
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HPHUPD08"=c:\programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"nwiz"=nwiz.exe /install
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=HDAudPropShortcut.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HD Publishing\\Joint Task Force\\jtf.exe"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1947:TCP"= 1947:TCP:HASP SRM
"1947:UDP"= 1947:UDP:HASP SRM
R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe -run [x]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-27 4352]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-27 265088]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-05-28 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\2583n4r2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-31 19:05
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1482476501-884357618-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e9,82,32,03,e8,c0,63,f3,63,48,db,f8,8b,a6,4c,e2,2d,64,c7,47,5f,8d,c5,
7d,c2,af,e9,b4,dd,91,9d,a0,f7,a3,b6,71,84,09,5b,8b,0f,fa,8a,99,95,e0,5f,84,\
"??"=hex:32,6d,17,bd,ce,bc,fe,c7,b0,58,a8,8f,4a,f8,bf,a3
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2528)
c:\windows\system32\msi.dll
.
Zeit der Fertigstellung: 2010-07-31 19:07:06
ComboFix-quarantined-files.txt 2010-07-31 17:07
ComboFix2.txt 2010-07-29 17:38
Vor Suchlauf: 11 Verzeichnis(se), 227.356.459.008 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 227.347.648.512 Bytes frei
- - End Of File - - EE07420B5DE2A1B47D857368F66D2927
|
|
31.07.2010, 19:31
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter registry keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\mscj.exe
folders to delete:
c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.08.2010, 17:51
| #13 |
| | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Servus! Anbei das LogFile von Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: folder "c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA" not found! Deletion of folder "c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\mscj.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
05.08.2010, 09:39
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE |
| andere, anderen, beenden, beendet, ebanking, ebay, einfach, emails, entfernen, fenster, gestern, iexplore.exe, langsam, lüfter, mozilla, pc sehr langsam, pornoseiten, problem, probleme, recht, runterfahren, schließe, sehr langsam, sofort, sybot, wirklich, öffnen |
Hybrid-Darstellung
