Hallo zusammen,

ich habe ein problem bei meiner suche nach einer evtl. Infektion meines Systems. Aber fangen wir vorne an, nach der Installation von Battlefield 2142 Deluxe Edt. konnte ich das Spiel nicht starten und bekam immer den Windowsfehler

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\***~1\LOKALE~1\Temp\414_appcompat.txt
         

wobei die Zeichen "414" bei jedem start versuch andere sind.

Google warf mir so einges an Möglichkeiten raus (Sound/ Grafiktreiberprobleme, Cipssatztreiberprobleme etc.) und unter anderem auch die Möglichkeit eines Viren/Trojaner/Maleware befall. (Die entsprechenden Quellen habe ich leider nicht mehr zur Hand, sry). Eine Infektion ist ja nie auszuschließen, somit wollte ich darauf auch mal explizit testen.

Da ich mit dem "Bitdefender Gamesafe", welches ich zum Test installiert hatte, nicht zufrieden war und der "Arbeit" dieses Programms nicht recht trauen wollte, habe ich Antivir wieder installiert und einen kompletten Systemscan mit einen Scan aller Dateien/Archive und auf der höchsten Aggresivitätsstufe gemacht.
Darauf hin fand Antivir auch einige Einträge stürtze allerdings bei dem versuch sie in Quarantäne zu verschieben ab. (Auch beim 3ten Versuch)
Hab einen Screenshot angehängt da durch den absturz kein log geschrieben wird.

Ein Malewarebytesscan zeigte folgendes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4418

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.09.2010 13:01:40
mbam-log-2010-09-06 (13-01-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 358634
Laufzeit: 1 Stunde(n), 38 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
E:\Restore\Eigene Dateien\Downloads\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Quarantined and deleted successfully.
E:\Restore\Eigene Dateien\Downloads\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\Apps\PhotoShop CS3.exe (TrojanProxy.Horst) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{E96473A4-0731-4CE8-820B-BB3D9A03F0C8}\RP439\A0153853.exe (Application.FindKey) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{E96473A4-0731-4CE8-820B-BB3D9A03F0C8}\RP439\A0153855.exe (Hacktool.WGAFix) -> Quarantined and deleted successfully.
         

Nach dem ich mir dann die "Load.exe" von eurer Seite besorgt habe führte ich alle Schritte brav aus, was auch bis zu Schritt 5 gut klappte. Da ergab sich das Problem das direkt nach dem Start von GMER die Anwendung abstürzt und mein System mit in den abgrund zieht. Da ich hier in Forum ja schon gelesen hab das es öfter abstürzt hab ich es noch 5 mal probiert immer mit dem selben Ergebniss. Falls das irgendwie von bedeutung ist, die Ereignisanzeige gibt mir folgendes Protokoll zu dem Bluescreen:

Code: Alles auswählenAufklappen

ATTFilter

Fehlercode 00000019, 1. Parameter 00000020, 2. Parameter 8949e000, 3. Parameter 8949e828, 4. Parameter 1b050000.
         

Die Logs nach euer Anleitung sowie ein HijackThis log hab ich mal angehängt. Leider habe ich ausversehen das "Extra"-log gelöscht und OTL schreibt kein neues. Wenn mir jemand sagt wie ich es wieder bekomme schieb ich das hinterher.
Den OTL-logfile ist leider zu groß um ihn anzuhängen oder hier zu posten... (ja hab es auf minimal gestellt ;-) ) Hab den mal geuppt: h**p://ul.to/kljhxq

Ich danke euch im voraus für eure Hilfe.

Btw Ich hoffe ich verstosse nicht gegen die "Goldene Forumregel" Nr. 2 und komme gleich mit mehreren Problemen auf einmal, aber ich weiß nicht ob die Fehler die Folge eines Befalls sind oder ein eigenständiges Problem. Da ich mal gelesen habe das es Viren geben soll die um sich zu schützen Programme negativ beeinflussen habe ich dies alles aufgeführt. Sollten es doch mehrere seperate sein entschuldigt dies bitte ich habe lediglich versucht möglichst viele Informationen bereitzustellen.

Grüße
CyberGuard

Zitat:

F:\Apps\PhotoShop CS3.exe (TrojanProxy.Horst) -> Quarantined and deleted successfully.

Mit Sicherheit ist was illegales

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Zitat:

Zitat von cosinus

Mit Sicherheit ist was illegales

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Das war, wenn ich mich recht entsinne, eine Sammlung von Schriftarten u.ä. die ich irgendwo mal auf einer Seite gefunden hab und gut fand. Man musste nur ne Toolbar oder sowas mit installieren deshalb ist ne ".exe" (ja inzwischen weiß ich auch wie naiv das war ) Aber genau kann ich es dir garnicht mehr sagen, da ich Photoshop seit dem letzten neu aufsetzten garnicht mehr drauf hab. Die Datei, flog nur noch in den Weiten meiner "Storage" Platte rum.
Wäre es so etwas gewesen dann hätte ich es sicher umbenannt weil ich ja weiß das es für illegales keinen Support gibt.
Aber wenn neu aufsetzen eh die einzige Alternative ist, ist der Beratungsbedarf ja nun mehr eher gering. ^^

Danke trotzdem für die schnelle Hilfe und den Link zu den Tipps.
Und bitte nicht mehr hauen.

Gruß
CyberGuard

Zitat:

PhotoShop CS3.exe

Sry, aber wenn etwas so heißt und darin ein Schädling gefunden wird, dann kann man von irgendwas Illegales ausgehen. Zudem eine Googlesuche nach "PhotoShop CS3.exe" zu einschlägigen Seiten führt

Ich bezweifle schwer das ich dich überzeugen kann da ich keine beweise hab. Aber google scmeißt dir für jedes halbwegs bekannte Programm bei Eingabe ne Torrent-, Crack-, Download- oder was auch immer seite raus.
Aber ist ja nun auch Latte.
Ich hätte nicht so sorglos sein dürfen von daher hab ich jetzt pech gehabt und darf neu aufsetzten.
Und wäre es was illegales gewesen hätte ich meine gerechte Strafe bekommen.

Zitat:

Ich bezweifle schwer das ich dich überzeugen kann da ich keine beweise hab. Aber google scmeißt dir für jedes halbwegs bekannte Programm bei Eingabe ne Torrent-, Crack-, Download- oder was auch immer seite raus.

Das halt ich für ein Gerücht.
Vllt kannste mal erklären, warum eine angebliche Sammlung von Schriftarten "PhotoShop CS3.exe" heißt. Macht nämlich überhaupt keinen Sinn