|
Plagegeister aller Art und deren Bekämpfung: Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.10.2010, 13:56 | #1 |
| Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Hallo Leute habe euch über Google gefunden und wollte die FAQ Hinweise abarbeiten. Aber erst mal von Anfang an. Ich habe auf meinem XP Rechner die Virensoftware "ESET NOD32 Antivirus" installiert. Seit einiger Zeit, 12.07.2010, kann sich die Signaturdatenbank nicht mehr aktualisieren. Da ich im Netzwerk mehrere Rechner habe bin ich erst heute dazu gekommen, mich mal das Problems anzunehmen. Wenn ich auf die Seiten von ESET gehen möchte geht dies nicht. Dann wollte ich "Antivir" installieren, auch ohne erfolg. Danach googelte ich ein wenig nach NICHTUPDATE VON VIRENPROGRAMMEN und bin auf Euch gestoßen. Jetzt wollte ich Load.exe installieren jedoch kommt auf meinem Rechner dann die Fehlermeldung, welche ich im Anhang eingefügt habe. Dann wollte ich das Programm "Malwarebytes" installieren, dies ging so weit auch ganz gut. Wenn ich jetzt das Programm starte wird es nach cirka 5 Secunden wieder geschlossen. Nun bin ich mit meinem Latein am Ende. Ich hoffe das Ihr mit meinen Ausführungen etwas anfangen könnt und mir helfen könnt vielen Dank schon mal im Vorraus Thomas |
11.10.2010, 20:42 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossenZitat:
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php
__________________ |
12.10.2010, 06:33 | #3 |
| Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Guten Morgen
__________________vielen Dank für deine Antwort. Leider hatte ich keinen Erfolg. Selbst mit dem Ablaufplan von OTH geht es nicht. Das programm wird nach 5 Sekunden geschlossen. Ich glaube aber gesehen zu haben das er schon irgend etwas "rotes" gefunden hatte. Habe das Programm gerade noch einmal versucht zu starten. Nach 5 Sekunden macht es zu und 6 gefundene Objekte oder so ähnlich steht in rot da. Habe jetzt noch mal einen Skreenshot gemacht und angehängt. Vielleicht kannst du ja damit was anfangen. Mal ne dumme Anfängerfrage: Kann ich das Programm nicht auf einem Stick installieren und von dort aus starten? vielen Dank schon mal bis dann Thomas Geändert von hasco (12.10.2010 um 06:52 Uhr) |
12.10.2010, 11:33 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Dann mach erstmal OTL Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten |
12.10.2010, 12:09 | #5 |
| Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Vielen Dank endlich mal etwas was auf meinem Rechner läuft. Im Anhang die beiden Logfiles. Ich hoffe du kannst was damit anfangen. Für mich steht da nur bis dann Thomas |
12.10.2010, 13:19 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL MOD - C:\WINDOWS\system32\mobswchx.dll () MOD - C:\WINDOWS\ehaxodemadavakul.dll () O4 - HKLM..\Run: [Yhojufav] C:\WINDOWS\ehaxodemadavakul.DLL () O4 - HKCU..\Run: [Rbamox] C:\WINDOWS\mstdfrDE.DLL () O4 - HKCU..\Run: [Search Advisor] C:\Programme\Search Advisor\adgui.exe () O36 - AppCertDlls: ckcnwwin - (C:\WINDOWS\system32\mobswchx.dll) - C:\WINDOWS\system32\mobswchx.dll () [2010.10.11 08:06:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\{BA99A7A7-797B-447A-BCA8-CD0D5B6B0CA3} [2010.10.11 13:39:59 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Kvecahowilojihum.dat [2010.09.28 14:32:59 | 000,051,712 | -H-- | M] () -- C:\WINDOWS\System32\mobswchx.dll [2010.09.28 14:36:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Credogiseyit.bin [2008.04.14 16:52:32 | 000,206,848 | ---- | C] () -- C:\WINDOWS\ehaxodemadavakul.dll [2008.04.14 16:52:32 | 000,078,336 | ---- | C] () -- C:\WINDOWS\mstdfrDE.dll :Files C:\Programme\Search Advisor :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ --> Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen |
12.10.2010, 13:33 | #7 |
| Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Ich habe zwar keine Ahnung was ich hier gerade mache, aber im Anhang die gewünscht Datei. bis dann Thomas |
13.10.2010, 06:23 | #8 |
| Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Ich weiß nicht ob es von Bedeutung ist, aber heute morgen hatte ich eine Fehlermeldung auf dem Schirm und da alles interesant sein kann habe ich sie in den Anhang gelegt. schönen Tag Thomas |
13.10.2010, 09:45 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Kannst Du Malwarebytes jetzt starten?
__________________ Logfiles bitte immer in CODE-Tags posten |
13.10.2010, 11:15 | #10 |
| Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen malwarebytes läst sich Starten geht aber nach 5 bis 6 Sekunden wieder aus. Habe es auch noch mit OTH.scr vorher versucht dann Kill oll .... usw aber keinerlei Veränderung. Das einzige was mir aufgefallen ist, beim Beginn der Suche findet er jetzt nichts mehr was rot angezeigt wird. Beim Reeboot ist jetzt eine Fehlermeldung neu gekommen, siehe Anhang. vielen Dank schon mal für deine Bemühungen. gruß Thomas |
13.10.2010, 12:36 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
13.10.2010, 14:16 | #12 |
| Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Hier wie gewünscht die Auswertung von Combofix. Noch eine Anmerkung: Zwischendurch hat Combofix gasagt: "Combo Fix hat die Anwesenheit von Rootkitaktivitäten festgestellt und muss nun den PC neustarten" dies habe ich mit OK bestätigt, ich hoffe das war OK. Combofix Logfile: Code:
ATTFilter ComboFix 10-10-12.03 - sw 13.10.2010 14:57:25.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3583.3122 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\sw\Desktop\cofi.exe AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} * Im Speicher befindliches AV aktiv. . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . Infizierte Kopie von c:\windows\system32\drivers\rdpcdd.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack :p wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2010-09-13 bis 2010-10-13 )))))))))))))))))))))))))))))) . 2010-10-13 12:31 . 2010-10-13 12:31 -------- d-----w- c:\programme\CCleaner 2010-10-12 12:28 . 2010-10-12 12:28 -------- d-----w- C:\_OTL 2010-10-11 12:34 . 2010-10-11 12:34 -------- d-----w- c:\dokumente und einstellungen\sw\Anwendungsdaten\Malwarebytes 2010-10-11 12:32 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-10-11 12:32 . 2010-10-11 12:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-10-11 12:32 . 2010-10-13 10:08 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-10-11 12:32 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-10-07 08:26 . 2010-10-07 08:26 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe 2010-10-04 06:46 . 2010-10-04 06:46 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache 2010-09-28 14:10 . 2010-09-28 14:10 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten 2010-09-28 12:47 . 2010-09-28 12:47 -------- d-----w- c:\dokumente und einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\ESET 2010-09-20 12:22 . 2010-09-20 12:22 -------- d-----w- c:\dokumente und einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\Mozilla 2010-09-20 12:19 . 2010-09-20 12:19 -------- d-----w- c:\programme\Altiris 2010-09-20 12:19 . 2010-09-20 12:19 -------- d-----w- C:\fslrdr 2010-09-20 12:13 . 2010-09-20 12:02 -------- d-----w- c:\dokumente und einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\Time Watch 2010-09-20 12:13 . 2010-09-20 12:13 -------- d-----w- c:\programme\Time Watch 2010-09-20 12:10 . 2010-09-20 12:10 -------- d-----w- c:\dokumente und einstellungen\sw\Anwendungsdaten\WhiteSmokeTranslator 2010-09-20 12:09 . 2010-09-20 12:09 -------- d-----w- c:\programme\AutocompletePro . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2009-04-28 344064] "PDF Complete"="c:\programme\PDF Complete\pdfsty.exe" [2008-04-07 318488] "SetRefresh"="c:\programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2010-04-07 2145000] "Time Watch"="c:\programme\Time Watch\TimeWatch4.exe" [2010-01-01 2852352] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "LoadAppInit_DLLs"=1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [07.04.2010 21:07 114984] R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [07.04.2010 21:08 95872] R1 FSLX;FSLX;c:\windows\system32\drivers\fslx.sys [20.02.2009 16:04 195456] R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [07.04.2010 21:07 810120] R2 pdfcDispatcher;PDF Document Manager;c:\programme\PDF Complete\pdfsvc.exe [05.02.2010 14:26 576024] R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [05.02.2010 23:04 243856] S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [11.10.2010 14:32 38224] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.yahoo.de/ mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=93&bd=all&pf=cmdt IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: {D859C064-D82A-4AA9-B25D-010645C32EB2} = 10.50.129.4,10.50.129.157 FF - ProfilePath - c:\dokumente und einstellungen\sw\Anwendungsdaten\Mozilla\Firefox\Profiles\xccjz8f6.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.de/ FF - prefs.js: network.proxy.type - 0 FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher] "ImagePath"="c:\programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(896) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2010-10-13 15:04:36 ComboFix-quarantined-files.txt 2010-10-13 13:04 Vor Suchlauf: 10 Verzeichnis(se), 477.343.232.000 Bytes frei Nach Suchlauf: 16 Verzeichnis(se), 477.319.921.664 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut - - End Of File - - A9C008D789F729B6C8A9E5BCC39D518A bis dann Thomas |
13.10.2010, 16:37 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
14.10.2010, 07:14 | #14 |
| Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Guten Morgen GMER ist durchgelaufen. Nur beim Download von OSAM bekomme ich einen Verbindungsfehler. Soll ich den MBRCheck trotzdem machen? Hier aber erst einmal der GMER Log GMER Logfile: Code:
ATTFilter GMER 1.0.15.15315 - hxxp://www.gmer.net Rootkit scan 2010-10-14 07:57:35 Windows 5.1.2600 Service Pack 3 Running: wt6f2i7r.exe; Driver: C:\DOKUME~1\sw\LOKALE~1\Temp\pxtdqpod.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwAssignProcessToJobObject [0xAE26F610] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwClose [0xAE0A5F86] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwCreateKey [0xAE0A5886] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwDebugActiveProcess [0xAE26FC10] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwDeleteKey [0xAE0A6048] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwDeleteValueKey [0xAE0A6298] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwDuplicateObject [0xAE0A6E98] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwEnumerateKey [0xAE0A66B6] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwEnumerateValueKey [0xAE0A6A72] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwFlushKey [0xAE0A6020] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwLoadKey [0xAE0A6D2A] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwOpenKey [0xAE0A54E4] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwOpenProcess [0xAE26F4B0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwOpenThread [0xAE26F570] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwProtectVirtualMemory [0xAE26F6D0] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwQueryKey [0xAE0A67C4] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwQueryValueKey [0xAE0A6BB4] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwRenameKey [0xAE0A6F30] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetContextThread [0xAE26F690] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetInformationThread [0xAE26F650] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetSecurityObject [0xAE26F7D0] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwSetValueKey [0xAE0A64EE] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendProcess [0xAE26F510] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendThread [0xAE26F590] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwTerminateProcess [0xAE26F4D0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwTerminateThread [0xAE26F5D0] SSDT \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.) ZwUnloadKey [0xAE0A6DAA] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwWriteVirtualMemory [0xAE26F750] Code \??\C:\DOKUME~1\sw\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF6C5A000, 0x1CBE76, 0xE8000020] ? C:\DOKUME~1\sw\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ? C:\DOKUME~1\sw\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\PDF Complete\pdfsvc.exe[216] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\Programme\PDF Complete\pdfsvc.exe[216] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\Programme\PDF Complete\pdfsvc.exe[216] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text C:\WINDOWS\system32\winlogon.exe[896] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\WINDOWS\system32\winlogon.exe[896] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\WINDOWS\system32\winlogon.exe[896] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text C:\WINDOWS\system32\services.exe[948] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\WINDOWS\system32\services.exe[948] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\WINDOWS\system32\services.exe[948] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\WINDOWS\system32\services.exe[948] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\WINDOWS\system32\services.exe[948] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\WINDOWS\system32\services.exe[948] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\WINDOWS\system32\services.exe[948] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\WINDOWS\system32\services.exe[948] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text C:\WINDOWS\system32\lsass.exe[960] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\WINDOWS\system32\lsass.exe[960] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\WINDOWS\system32\lsass.exe[960] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text C:\WINDOWS\system32\Ati2evxx.exe[1156] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\WINDOWS\system32\Ati2evxx.exe[1156] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\WINDOWS\system32\Ati2evxx.exe[1156] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text C:\WINDOWS\system32\svchost.exe[1180] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\WINDOWS\system32\svchost.exe[1180] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\WINDOWS\system32\svchost.exe[1180] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text C:\WINDOWS\System32\svchost.exe[1356] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\WINDOWS\System32\svchost.exe[1356] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\WINDOWS\System32\svchost.exe[1356] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text C:\WINDOWS\system32\Ati2evxx.exe[1532] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\WINDOWS\system32\Ati2evxx.exe[1532] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\WINDOWS\system32\Ati2evxx.exe[1532] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text C:\WINDOWS\system32\spoolsv.exe[1736] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\WINDOWS\system32\spoolsv.exe[1736] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\WINDOWS\system32\spoolsv.exe[1736] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00] .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text C:\WINDOWS\System32\svchost.exe[2392] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\WINDOWS\System32\svchost.exe[2392] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\WINDOWS\System32\svchost.exe[2392] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 .text C:\WINDOWS\system32\wuauclt.exe[3124] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 10003DEC .text C:\WINDOWS\system32\wuauclt.exe[3124] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 10003C34 .text C:\WINDOWS\system32\wuauclt.exe[3124] kernel32.dll!ExitProcess 7C81CB12 5 Bytes JMP 10003E70 .text C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!connect 71A14A07 5 Bytes JMP 10003AE8 .text C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!send 71A14C27 5 Bytes JMP 1000325C .text C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 100027F0 .text C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!recv 71A1676F 5 Bytes JMP 10002784 .text C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 10003A94 ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs fslx.sys (FSL System Driver/Symantec Corp.) AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET) AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET) ---- EOF - GMER 1.0.15 ---- bis dann Thomas |
15.10.2010, 11:23 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen Heir ist ein Ersatzlink für OSAM => File-Upload.net - osam.zip
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen |
anfang, anhang, antivirus, eset, eset nod32, fehlermeldung, gen, geschlossen, google, heute, installieren, installiert, load.exe, malwarebytes, mehrere rechner, nach start, netzwerk, nicht installiert, nicht mehr, nod32, programm, programme, programmen, rechner, seite, seiten, software, start, starte, update, virenprogramme, virensoftware |