|
Alles rund um Windows: zwei Fehlermeldungen RUNDLLWindows 7 Hilfe zu allen Windows-Betriebssystemen: Windows XP, Windows Vista, Windows 7, Windows 8(.1) und Windows 10 / Windows 11- als auch zu sämtlicher Windows-Software. Alles zu Windows 10 ist auch gerne willkommen. Bitte benenne etwaige Fehler oder Bluescreens unter Windows mit dem Wortlaut der Fehlermeldung und Fehlercode. Erste Schritte für Hilfe unter Windows. |
10.11.2010, 14:14 | #16 |
| zwei Fehlermeldungen RUNDLL [gelöst] Combofix Logfile: Code:
ATTFilter ComboFix 10-11-09.02 - Administrator 10.11.2010 13:57:33.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2813.2396 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{180429ED-AE2C-4962-82CB-1D3AA0D19C0C} c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{180429ED-AE2C-4962-82CB-1D3AA0D19C0C}\chrome.manifest c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{180429ED-AE2C-4962-82CB-1D3AA0D19C0C}\chrome\content\_cfg.js c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{180429ED-AE2C-4962-82CB-1D3AA0D19C0C}\chrome\content\overlay.xul c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{180429ED-AE2C-4962-82CB-1D3AA0D19C0C}\install.rdf c:\dokumente und einstellungen\rob\odp-3.1-bin-windows-en-US.exe c:\dokumente und einstellungen\rob\OOo_3.2.0_Win32Intel_install_wJRE_de.exe c:\windows\system32\eventmgr.exe D:\AUTORUN.INF . ((((((((((((((((((((((( Dateien erstellt von 2010-10-10 bis 2010-11-10 )))))))))))))))))))))))))))))) . 2010-11-09 16:48 . 2010-11-09 16:48 -------- d-----w- C:\_OTL 2010-11-06 12:48 . 2010-11-06 12:48 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\World in Conflict 2010-11-05 13:49 . 2010-11-05 13:49 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2010-11-05 13:49 . 2010-04-29 11:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-05 13:49 . 2010-11-05 13:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-11-05 13:49 . 2010-11-05 13:49 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-11-05 13:49 . 2010-04-29 11:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-10-28 12:45 . 2010-11-07 15:43 -------- d-----w- c:\windows\system32\de 2010-10-28 12:45 . 2010-11-07 15:43 -------- d-----w- c:\windows\system32\bits 2010-10-27 16:46 . 2004-08-04 08:00 221184 ----a-w- c:\windows\system32\wmpns.dll 2010-10-27 16:08 . 2010-11-07 15:43 -------- d-----w- c:\windows\system32\de-de 2010-10-27 16:08 . 2010-11-07 15:42 -------- d-----w- c:\windows\l2schemas 2010-10-27 16:01 . 2009-06-26 16:16 1056256 ----a-w- c:\windows\system32\dllcache\danim.dll 2010-10-17 18:10 . 2010-10-17 18:14 -------- d-----w- c:\dokumente und einstellungen\rob\bilder . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc] 2007-05-15 14:08 112640 ----a-w- c:\windows\system32\ackpbsc.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock] 2007-05-15 14:08 281088 ----a-w- c:\programme\ActivIdentity\ActivClient\acunlock.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk] path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk backup=c:\windows\pss\BTTray.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office PowerPoint Viewer 2003.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office PowerPoint Viewer 2003.lnk backup=c:\windows\pss\Microsoft Office PowerPoint Viewer 2003.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk backup=c:\windows\pss\VPN Client.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AccelerometerSysTrayApplet] 2008-06-09 06:10 82224 ----a-w- c:\windows\system32\accelerometerST.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\accrdsub] 2007-05-15 14:08 293168 ----a-w- c:\programme\ActivIdentity\ActivClient\accrdsub.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset] 2008-05-14 09:36 61440 ----a-w- c:\programme\Hewlett-Packard\Default Settings\Cpqset.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2004-08-04 08:00 15360 ----a-w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] 2007-04-03 22:29 165784 ----a-w- c:\programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant] 2008-04-15 12:51 488752 ----a-w- c:\programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsmqIntCert] 2009-06-25 18:34 177152 ----a-w- c:\windows\system32\mqrt.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl.exe] 2008-05-14 09:26 177456 ----a-w- c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] 2008-03-24 11:43 884736 ----a-w- c:\programme\Analog Devices\SoundMAX\SMax4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] 2008-04-04 15:09 1044480 ----a-w- c:\programme\Analog Devices\Core\smax4pnp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] 2008-01-21 10:17 61440 ----a-w- c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-05-14 09:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] 2008-03-27 18:28 1040384 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2] 2004-08-27 17:22 90112 ------w- c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\mqsvc.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\WINDOWS\\system32\\mstsc.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4980:TCP"= 4980:TCP:lwekhod R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [19.07.2008 08:48 174600] R0 Amddfltr;Amd Disk Lower Filter Driver;c:\windows\system32\drivers\Amddfltr.sys [19.07.2008 00:12 15416] R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28.03.2008 11:14 24064] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26.04.2010 19:10 682232] R2 accoca;ActivClient Middleware Service;c:\programme\ActivIdentity\ActivClient\accoca.exe [15.05.2007 15:08 182576] S3 Com4QLBEx;Com4QLBEx;c:\programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [19.07.2008 01:11 193840] S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [27.02.2010 01:38 135664] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs zqkhwhx . Inhalt des "geplante Tasks" Ordners 2010-11-07 c:\windows\Tasks\$~$Sys0$.job - c:\windows\System32\SchedSvc.dll [2004-08-04 08:00] 2010-10-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cb73ba64d66505.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-02-27 00:38] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\g9z6j3i7.default\ FF - prefs.js: browser.startup.homepage - hxxp://ixquick.com/deu?th=night FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - Notify-dimsntfy - (no file) MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe MSConfigStartUp-Fqukipe - c:\windows\ejesovomado.dll MSConfigStartUp-Lboqovito - c:\windows\ms3dbv.dll MSConfigStartUp-VeohPlugin - c:\programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1404) c:\windows\system32\ackpbsc.dll c:\windows\system32\aclog.dll c:\windows\system32\ACLIBEAY.dll c:\windows\system32\acevtsub.dll c:\windows\system32\asphat32.dll c:\windows\system32\acerrmes.dll c:\windows\system32\aspcom.dll c:\programme\ActivIdentity\ActivClient\Resources\Merged\acerrmrc.dll c:\programme\ActivIdentity\ActivClient\Resources\Merged\asphatrc.dll c:\windows\system32\msi.dll c:\windows\system32\Ati2evxx.dll c:\programme\ActivIdentity\ActivClient\acunlock.dll c:\windows\system32\aipingui.dll c:\programme\ActivIdentity\ActivClient\Resources\Merged\aipinguirc.dll c:\programme\ActivIdentity\ActivClient\resources\acCobAPIrc.dll c:\programme\ActivIdentity\ActivClient\Resources\Merged\acunlockrc.dll - - - - - - - > 'explorer.exe'(6508) c:\windows\system32\msi.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\btncopy.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\programme\ActivIdentity\ActivClient\acevents.exe c:\windows\system32\Ati2evxx.exe c:\windows\System32\SCardSvr.exe c:\windows\system32\msdtc.exe c:\windows\system32\agrsmsvc.exe c:\programme\Cisco Systems\VPN Client\cvpnd.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe c:\windows\system32\mqsvc.exe c:\windows\system32\mqtgsvc.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-11-10 14:13:33 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-11-10 13:13 Vor Suchlauf: 16 Verzeichnis(se), 103.581.868.032 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 103.235.350.528 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4 - - End Of File - - 58FDF7F4E1C6AED29010667E08A895ED |
10.11.2010, 15:01 | #17 |
/// Winkelfunktion /// TB-Süch-Tiger™ | zwei Fehlermeldungen RUNDLL [gelöst] Combofix - Scripten
__________________1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4980:TCP"=- 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ |
10.11.2010, 16:49 | #18 |
| zwei Fehlermeldungen RUNDLL [gelöst] Combofix Logfile:
__________________Code:
ATTFilter ComboFix 10-11-09.02 - Administrator 10.11.2010 16:28:41.2.2 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2813.2281 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2010-10-10 bis 2010-11-10 )))))))))))))))))))))))))))))) . 2010-11-10 13:12 . 2010-11-10 13:12 -------- d-----w- c:\windows\LastGood 2010-11-10 12:53 . 2010-11-10 13:13 -------- d-----w- C:\cofi 2010-11-09 16:48 . 2010-11-09 16:48 -------- d-----w- C:\_OTL 2010-11-06 12:48 . 2010-11-06 12:48 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\World in Conflict 2010-11-05 13:49 . 2010-11-05 13:49 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2010-11-05 13:49 . 2010-04-29 11:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-05 13:49 . 2010-11-05 13:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-11-05 13:49 . 2010-11-05 13:49 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-11-05 13:49 . 2010-04-29 11:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-10-28 12:45 . 2010-11-07 15:43 -------- d-----w- c:\windows\system32\de 2010-10-28 12:45 . 2010-11-07 15:43 -------- d-----w- c:\windows\system32\bits 2010-10-27 16:46 . 2004-08-04 08:00 221184 ----a-w- c:\windows\system32\wmpns.dll 2010-10-27 16:08 . 2010-11-07 15:43 -------- d-----w- c:\windows\system32\de-de 2010-10-27 16:08 . 2010-11-07 15:42 -------- d-----w- c:\windows\l2schemas 2010-10-27 16:01 . 2009-06-26 16:16 1056256 ----a-w- c:\windows\system32\dllcache\danim.dll 2010-10-17 18:10 . 2010-10-17 18:14 -------- d-----w- c:\dokumente und einstellungen\rob\bilder . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . ((((((((((((((((((((((((((((( SnapShot@2010-11-10_13.08.50 ))))))))))))))))))))))))))))))))))))))))) . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc] 2007-05-15 14:08 112640 ----a-w- c:\windows\system32\ackpbsc.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock] 2007-05-15 14:08 281088 ----a-w- c:\programme\ActivIdentity\ActivClient\acunlock.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk] path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk backup=c:\windows\pss\BTTray.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office PowerPoint Viewer 2003.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office PowerPoint Viewer 2003.lnk backup=c:\windows\pss\Microsoft Office PowerPoint Viewer 2003.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk backup=c:\windows\pss\VPN Client.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AccelerometerSysTrayApplet] 2008-06-09 06:10 82224 ----a-w- c:\windows\system32\accelerometerST.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\accrdsub] 2007-05-15 14:08 293168 ----a-w- c:\programme\ActivIdentity\ActivClient\accrdsub.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset] 2008-05-14 09:36 61440 ----a-w- c:\programme\Hewlett-Packard\Default Settings\Cpqset.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2004-08-04 08:00 15360 ----a-w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] 2007-04-03 22:29 165784 ----a-w- c:\programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant] 2008-04-15 12:51 488752 ----a-w- c:\programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsmqIntCert] 2009-06-25 18:34 177152 ----a-w- c:\windows\system32\mqrt.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl.exe] 2008-05-14 09:26 177456 ----a-w- c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] 2008-03-24 11:43 884736 ----a-w- c:\programme\Analog Devices\SoundMAX\SMax4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] 2008-04-04 15:09 1044480 ----a-w- c:\programme\Analog Devices\Core\smax4pnp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] 2008-01-21 10:17 61440 ----a-w- c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-05-14 09:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] 2008-03-27 18:28 1040384 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2] 2004-08-27 17:22 90112 ------w- c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\mqsvc.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\WINDOWS\\system32\\mstsc.exe"= R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [19.07.2008 08:48 174600] R0 Amddfltr;Amd Disk Lower Filter Driver;c:\windows\system32\drivers\Amddfltr.sys [19.07.2008 00:12 15416] R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28.03.2008 11:14 24064] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26.04.2010 19:10 682232] R2 accoca;ActivClient Middleware Service;c:\programme\ActivIdentity\ActivClient\accoca.exe [15.05.2007 15:08 182576] S3 Com4QLBEx;Com4QLBEx;c:\programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [19.07.2008 01:11 193840] S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [27.02.2010 01:38 135664] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs zqkhwhx . Inhalt des "geplante Tasks" Ordners 2010-11-07 c:\windows\Tasks\$~$Sys0$.job - c:\windows\System32\SchedSvc.dll [2004-08-04 08:00] 2010-10-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cb73ba64d66505.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-02-27 00:38] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\g9z6j3i7.default\ FF - prefs.js: browser.startup.homepage - hxxp://ixquick.com/deu?th=night FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-11-10 16:32 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1404) c:\windows\system32\ackpbsc.dll c:\windows\system32\aclog.dll c:\windows\system32\ACLIBEAY.dll c:\windows\system32\acevtsub.dll c:\windows\system32\asphat32.dll c:\windows\system32\acerrmes.dll c:\windows\system32\aspcom.dll c:\programme\ActivIdentity\ActivClient\Resources\Merged\acerrmrc.dll c:\programme\ActivIdentity\ActivClient\Resources\Merged\asphatrc.dll c:\windows\system32\msi.dll c:\windows\system32\Ati2evxx.dll c:\programme\ActivIdentity\ActivClient\acunlock.dll c:\windows\system32\aipingui.dll c:\programme\ActivIdentity\ActivClient\Resources\Merged\aipinguirc.dll c:\programme\ActivIdentity\ActivClient\resources\acCobAPIrc.dll c:\programme\ActivIdentity\ActivClient\Resources\Merged\acunlockrc.dll - - - - - - - > 'explorer.exe'(16628) c:\windows\system32\msi.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2010-11-10 16:34:17 ComboFix-quarantined-files.txt 2010-11-10 15:34 ComboFix2.txt 2010-11-10 13:13 Vor Suchlauf: 20 Verzeichnis(se), 103.206.191.104 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 103.192.723.456 Bytes frei Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4 - - End Of File - - 3DD03E427F1F3173D69DDAE3C1B08AC2 -------------------------------------------------------------------- das ist die log-datei, die automatisch geöffnet wurde. hoffe, es ist das, was du meintest. |
10.11.2010, 17:29 | #19 |
/// Winkelfunktion /// TB-Süch-Tiger™ | zwei Fehlermeldungen RUNDLL [gelöst] Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
10.11.2010, 22:56 | #20 |
| zwei Fehlermeldungen RUNDLL [gelöst] GMER GMER Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit scan 2010-11-10 22:53:04 Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Scsi\ahcix861Port0Path0Target0Lun0 Hitachi_ rev.FBEO Running: kiu0e3om.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pxtdrpow.sys ---- System - GMER 1.0.15 ---- SSDT sptd.sys ZwCreateKey [0xF729F0D0] SSDT sptd.sys ZwEnumerateKey [0xF72A4E2C] SSDT sptd.sys ZwEnumerateValueKey [0xF72A51BA] SSDT sptd.sys ZwOpenKey [0xF729F0B0] SSDT sptd.sys ZwQueryKey [0xF72A5292] SSDT sptd.sys ZwQueryValueKey [0xF72A5112] SSDT sptd.sys ZwSetValueKey [0xF72A5324] Code \??\C:\cofi\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xAA3D8000, 0x18A386, 0xE8000020] .text USBPORT.SYS!DllUnload AA210934 5 Bytes JMP 8ACB1780 ? System32\Drivers\arp2f8r9.SYS Das System kann den angegebenen Pfad nicht finden. ! ? C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ? C:\cofi\catchme.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. ! ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F729FAD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F729FC1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F729FB9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F72A0748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F72A061E] sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F72B4ACA] sptd.sys ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[296] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [00D32BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC) IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[296] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter] [00D32CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC) IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[296] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess] [00D32CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8ADF01E8 Device \FileSystem\Fastfat \FatCdrom 8ACF21E8 AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\usbohci \Device\USBPDO-0 8AD0F7A0 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8ADF21E8 Device \Driver\dmio \Device\DmControl\DmConfig 8ADF21E8 Device \Driver\dmio \Device\DmControl\DmPnP 8ADF21E8 Device \Driver\dmio \Device\DmControl\DmInfo 8ADF21E8 Device \Driver\usbohci \Device\USBPDO-1 8AD0F7A0 Device \Driver\usbohci \Device\USBPDO-2 8AD0F7A0 Device \Driver\usbehci \Device\USBPDO-3 8AC707A0 Device \Driver\usbohci \Device\USBPDO-4 8AD0F7A0 Device \Driver\usbohci \Device\USBPDO-5 8AD0F7A0 Device \Driver\usbehci \Device\USBPDO-6 8AC707A0 Device \Driver\Ftdisk \Device\HarddiskVolume1 8AD811E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8AD811E8 Device \Driver\Cdrom \Device\CdRom0 8A6F01E8 Device \Driver\Cdrom \Device\CdRom1 8A6F01E8 Device \Driver\NetBT \Device\NetBt_Wins_Export 86D881E8 Device \Driver\NetBT \Device\NetbiosSmb 86D881E8 Device \Driver\PCI_NTPNP3882 \Device\0000005e sptd.sys Device \Driver\NetBT \Device\NetBT_Tcpip_{516CF615-4E1C-423A-81E0-A80375A33C5D} 86D881E8 Device \Driver\usbohci \Device\USBFDO-0 8AD0F7A0 Device \Driver\usbohci \Device\USBFDO-1 8AD0F7A0 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86D811E8 Device \Driver\usbehci \Device\USBFDO-2 8AC707A0 Device \FileSystem\MRxSmb \Device\LanmanRedirector 86D811E8 Device \Driver\usbohci \Device\USBFDO-3 8AD0F7A0 Device \Driver\usbohci \Device\USBFDO-4 8AD0F7A0 Device \Driver\Ftdisk \Device\FtControl 8AD811E8 Device \Driver\usbehci \Device\USBFDO-5 8AC707A0 Device \Driver\usbohci \Device\USBFDO-6 8AD0F7A0 Device \Driver\ahcix86 \Device\Scsi\ahcix861 8ADF11E8 Device \Driver\arp2f8r9 \Device\Scsi\arp2f8r91 8ACB07A0 Device \Driver\arp2f8r9 \Device\Scsi\arp2f8r91Port1Path0Target0Lun0 8ACB07A0 Device \Driver\ahcix86 \Device\Scsi\ahcix861Port0Path0TargetaLun0 8ADF11E8 Device \Driver\ahcix86 \Device\Scsi\ahcix861Port0Path0Target5Lun0 8ADF11E8 Device \Driver\ahcix86 \Device\Scsi\ahcix861Port0Path0Target0Lun0 8ADF11E8 Device \FileSystem\Fastfat \Fat 8ACF21E8 Device \FileSystem\Cdfs \Cdfs 86D7D1E8 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xAD 0x79 0x13 0x49 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xD7 0xB0 0xD5 0x63 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFB 0x55 0x0C 0x57 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xAD 0x79 0x13 0x49 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xD7 0xB0 0xD5 0x63 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFB 0x55 0x0C 0x57 ... Reg HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@DisplayName Support Windows Reg HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@Type 32 Reg HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\zqkhwhx@Description Verwaltet den Zugriff auf Smartcards, die von diesem Computer gelesen werden. Wenn dieser Dienst beendet wird, wird dieser Computer keine Smartcards mehr lesen k?nnen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen. Reg HKLM\SYSTEM\ControlSet002\Services\zqkhwhx\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\zqkhwhx\Parameters@ServiceDll C:\WINDOWS\system32\bhmwgaj.dll Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xAD 0x79 0x13 0x49 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xD7 0xB0 0xD5 0x63 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFB 0x55 0x0C 0x57 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xAD 0x79 0x13 0x49 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xD7 0xB0 0xD5 0x63 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFB 0x55 0x0C 0x57 ... ---- EOF - GMER 1.0.15 ---- |
11.11.2010, 18:22 | #21 |
| zwei Fehlermeldungen RUNDLL [gelöst] OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 18:20:05 on 11.11.2010 OS: Windows XP Professional Service Pack 2 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.12 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore1cb73ba64d66505.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "accelerometercp.CPL" - "Hewlett-Packard Corporation" - C:\WINDOWS\system32\accelerometercp.CPL "btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "HP 3D DriveGuard" - "Hewlett-Packard Corporation" - C:\WINDOWS\system32\accelerometercp.CPL "HPWACpl" - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Wireless Assistant\WACntlPnl.cpl "mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL "QlbConfig" - " Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbConfg.cpl "SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "accmnvx5" (accmnvx5) - ? - C:\WINDOWS\system32\drivers\accmnvx5.sys (Hidden registry entry, rootkit activity | File not found) "catchme" (catchme) - ? - C:\cofi\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys "cpuz132" (cpuz132) - ? - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cpuz132\cpuz132_x32.sys (File not found) "Deterministic Network Enhancer Miniport" (DNE) - "Deterministic Networks, Inc." - C:\WINDOWS\System32\DRIVERS\dne2000.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys (File signed by Microsoft | File found, but it contains no detailed information) "sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys (File is exclusively opened, access blocked) "vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\BTNEIG~1.DLL {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {FCF608CF-5716-47C3-A1A8-991D873AF72B} "Delphi Context Menu Shell Extension Example" - ? - C:\Programme\Exifer\exifershellext.dll (File found, but it contains no detailed information) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? - (File not found | COM-object registry key not found) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - c:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "Klicke hier um das Projekt xp-AntiSpy zu unterstützen" - ? - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10d.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "AcroIEHlprObj Class" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll "Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ActivClient Middleware Service" (accoca) - "ActivIdentity" - c:\Programme\ActivIdentity\ActivClient\accoca.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe "Cisco Systems, Inc. Installer service" (CiscoVpnInstallService) - ? - C:\PROGRA~1\CISCOS~1\VPN\INSTAL~1.EXE (File not found) "Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe "Com4QLBEx" (Com4QLBEx) - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe "hpqwmiex" (hpqwmiex) - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE "Net.Tcp Port Sharing Service" (NetTcpPortSharing) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "ackpbsc" - "ActivIdentity" - c:\WINDOWS\system32\ackpbsc.dll "acunlock" - "ActivIdentity" - c:\Programme\ActivIdentity\ActivClient\acunlock.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru -------------------- ich hoffe, das ist das richtige. habe die anleitung gelesen, aber bei mir konnte ich bei der online datenbank nur noch "close" anklicken.. |
11.11.2010, 18:24 | #22 |
| zwei Fehlermeldungen RUNDLL [gelöst] MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 2 (build 2600) Logical Drives Mask: 0x0000003c Kernel Drivers (total 148): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E3000 \WINDOWS\system32\hal.dll 0xF7987000 \WINDOWS\system32\KDCOM.DLL 0xF7897000 \WINDOWS\system32\BOOTVID.dll 0xF729E000 sptd.sys 0xF7989000 \WINDOWS\System32\Drivers\WMILIB.SYS 0xF7286000 \WINDOWS\System32\Drivers\SCSIPORT.SYS 0xF7257000 ACPI.sys 0xF7246000 pci.sys 0xF7487000 ohci1394.sys 0xF7497000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF74A7000 isapnp.sys 0xF789B000 compbatt.sys 0xF789F000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF7A4F000 pciide.sys 0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF798B000 intelide.sys 0xF798D000 viaide.sys 0xF798F000 aliide.sys 0xF7228000 pcmcia.sys 0xF74B7000 MountMgr.sys 0xF7209000 ftdisk.sys 0xF7991000 dmload.sys 0xF71E3000 dmio.sys 0xF78A3000 ACPIEC.sys 0xF7A50000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF770F000 PartMgr.sys 0xF74C7000 VolSnap.sys 0xF71CB000 atapi.sys 0xF718A000 ahcix86.sys 0xF74D7000 disk.sys 0xF74E7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF716B000 fltMgr.sys 0xF7159000 sr.sys 0xF74F7000 PxHelp20.sys 0xF7142000 KSecDD.sys 0xF712F000 WudfPf.sys 0xF70A2000 Ntfs.sys 0xF7075000 NDIS.sys 0xF7507000 sfaudio.sys 0xF705A000 Mup.sys 0xF7717000 hpdskflt.sys 0xF771F000 Amddfltr.sys 0xF7537000 \SystemRoot\system32\DRIVERS\AmdPPM.sys 0xAA3D7000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xAA3C3000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xAA37A000 \SystemRoot\system32\DRIVERS\yk51x86.sys 0xAA23F000 \SystemRoot\system32\DRIVERS\bcmwl5.sys 0xF75F7000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7607000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF7617000 \SystemRoot\system32\DRIVERS\redbook.sys 0xAA21C000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7837000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xAA1F8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7867000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xAA1D3000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF7627000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF775F000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys 0xF7637000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS 0xAA158000 \SystemRoot\system32\DRIVERS\Wdf01000.sys 0xF786F000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xAA121000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF79A7000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7757000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xAA093000 \SystemRoot\System32\Drivers\accmnvx5.SYS 0xF77EF000 \SystemRoot\system32\DRIVERS\Accelerometer.sys 0xF7002000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF6FFA000 \SystemRoot\system32\DRIVERS\cpqbttn.sys 0xF7647000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF780F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF6FF2000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xA9FC2000 \SystemRoot\system32\DRIVERS\btkrnl.sys 0xA9FA3000 \SystemRoot\system32\DRIVERS\dne2000.sys 0xF7ABE000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7657000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF795B000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xA9F8C000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF7667000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF7677000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF77DF000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xA9EDB000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7687000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7817000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7827000 \SystemRoot\system32\DRIVERS\raspti.sys 0xA9EAA000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF7697000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF79B1000 \SystemRoot\system32\DRIVERS\swenum.sys 0xA9E29000 \SystemRoot\system32\DRIVERS\update.sys 0xAA105000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF7967000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xF778F000 \SystemRoot\system32\DRIVERS\btport.sys 0xF76A7000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF76D7000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x99C8A000 \SystemRoot\system32\drivers\ADIHdAud.sys 0x99C66000 \SystemRoot\system32\drivers\portcls.sys 0xF76E7000 \SystemRoot\system32\drivers\drmk.sys 0x99C4E000 \SystemRoot\system32\drivers\AEAudio.sys 0x99B28000 \SystemRoot\system32\DRIVERS\AGRSM.sys 0xF77CF000 \SystemRoot\System32\Drivers\Modem.SYS 0xF79BD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7B14000 \SystemRoot\System32\Drivers\Null.SYS 0xF79C1000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7807000 \SystemRoot\System32\drivers\vga.sys 0x99927000 \SystemRoot\system32\DRIVERS\snp2uvc.sys 0xF76F7000 \SystemRoot\system32\DRIVERS\STREAM.SYS 0xF77E7000 \SystemRoot\system32\DRIVERS\sncduvc.SYS 0xF79C5000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF79C9000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF77FF000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF782F000 \SystemRoot\System32\Drivers\Npfs.SYS 0xA9E8A000 \SystemRoot\system32\DRIVERS\rasacd.sys 0x99914000 \SystemRoot\system32\DRIVERS\ipsec.sys 0x998BC000 \SystemRoot\system32\DRIVERS\tcpip.sys 0x9986C000 \SystemRoot\system32\DRIVERS\netbt.sys 0x9984B000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF7547000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x99829000 \SystemRoot\System32\drivers\afd.sys 0xF7557000 \SystemRoot\system32\DRIVERS\netbios.sys 0x9975E000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x996EF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF7577000 \SystemRoot\System32\Drivers\Fips.SYS 0x996CC000 \SystemRoot\System32\Drivers\Fastfat.SYS 0x998B4000 \SystemRoot\System32\Drivers\dump_diskdump.sys 0x9968B000 \SystemRoot\System32\Drivers\dump_ahcix86.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0xA9E25000 \SystemRoot\System32\drivers\Dxapi.sys 0xF77A7000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7BDB000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF05F000 \SystemRoot\System32\ati2cqag.dll 0xBF0DE000 \SystemRoot\System32\atikvmag.dll 0xBF14E000 \SystemRoot\System32\atiok3x2.dll 0xBF17C000 \SystemRoot\System32\ati3duag.dll 0xBF484000 \SystemRoot\System32\ativvaxx.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0x96E52000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x96B65000 \SystemRoot\system32\drivers\wdmaud.sys 0x96CDA000 \SystemRoot\system32\drivers\sysaudio.sys 0x96C8A000 \SystemRoot\System32\Drivers\Cdfs.SYS 0x969FB000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0x9687B000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys 0x96864000 \??\C:\WINDOWS\system32\drivers\mqac.sys 0x9674A000 \SystemRoot\system32\DRIVERS\srv.sys 0x966A0000 \??\C:\WINDOWS\system32\drivers\RMCast.sys 0x962EF000 \SystemRoot\System32\Drivers\HTTP.sys 0x7C910000 \WINDOWS\system32\ntdll.dll 0x10000000 \Programme\DAEMON Tools\daemon.dll Processes (total 35): 0 System Idle Process 4 System 1316 C:\WINDOWS\system32\smss.exe 1364 csrss.exe 1404 C:\WINDOWS\system32\winlogon.exe 1448 C:\WINDOWS\system32\services.exe 1460 C:\WINDOWS\system32\lsass.exe 1608 C:\WINDOWS\system32\ati2evxx.exe 1640 C:\WINDOWS\system32\svchost.exe 1772 svchost.exe 1828 C:\WINDOWS\system32\svchost.exe 1876 C:\WINDOWS\system32\svchost.exe 2016 svchost.exe 192 svchost.exe 252 acevents.exe 492 C:\WINDOWS\system32\ati2evxx.exe 752 C:\WINDOWS\system32\spoolsv.exe 820 scardsvr.exe 1020 C:\WINDOWS\explorer.exe 616 svchost.exe 620 msdtc.exe 840 C:\Programme\ActivIdentity\ActivClient\accoca.exe 844 C:\WINDOWS\system32\agrsmsvc.exe 908 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe 992 C:\Programme\Java\jre6\bin\jqs.exe 1052 C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe 1680 C:\WINDOWS\system32\svchost.exe 1664 C:\WINDOWS\system32\mqsvc.exe 1240 C:\WINDOWS\system32\mqtgsvc.exe 2100 C:\WINDOWS\system32\wbem\wmiapsrv.exe 2440 C:\WINDOWS\system32\wscntfy.exe 2608 alg.exe 3792 C:\WINDOWS\system32\svchost.exe 3400 C:\Programme\Mozilla Firefox\firefox.exe 2572 C:\Dokumente und Einstellungen\Administrator\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000039`f8517c00 (FAT32) PhysicalDrive0 Model Number: HitachiHTS543225L9A3, Rev: FBEO Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 RE: Unknown MBR code SHA1: BBF289AC40BA09F2CC1797655D4799D2AB148CB5 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Done! |
11.11.2010, 22:54 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | zwei Fehlermeldungen RUNDLL [gelöst] Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter registry keys to delete: HKLM\SYSTEM\ControlSet002\Services\zqkhwhx files to delete: C:\WINDOWS\system32\bhmwgaj.dll 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken
__________________ Logfiles bitte immer in CODE-Tags posten |
11.11.2010, 23:25 | #24 |
| zwei Fehlermeldungen RUNDLL [gelöst] Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Registry key "HKLM\SYSTEM\ControlSet002\Services\zqkhwhx" deleted successfully. Error: file "C:\WINDOWS\system32\bhmwgaj.dll" not found! Deletion of file "C:\WINDOWS\system32\bhmwgaj.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
11.11.2010, 23:26 | #25 |
| zwei Fehlermeldungen RUNDLL [gelöst] hxxp://www.file-upload.net/download-2965250/backup.zip.html |
12.11.2010, 13:44 | #26 |
/// Winkelfunktion /// TB-Süch-Tiger™ | zwei Fehlermeldungen RUNDLL [gelöst] Nun müssen wir wohl noch den MBR fixen. Hast Du noch andere Betriebssystem außer WinXP drauf? Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck und GMER nochmals aus und poste die neuen Logs.
__________________ Logfiles bitte immer in CODE-Tags posten |
12.11.2010, 17:28 | #27 |
| zwei Fehlermeldungen RUNDLL [gelöst] ich habe nur xp installiert. jetzt habe ich schon mehrfach versucht, die befehle in die wiederherstellungskonsole einzugeben. allerdings bleibt der bildschirm nach dem auswählen der konsole einfach schwarz, bis auf einen kleinen weißen strich links oben und ich kann auch nichts eintippen - nicht mal excape funktioniert. oder dauert es noch länger als ca. 20min, bis die wiederherstellungskonsole funktionionsfähig ist? |
12.11.2010, 18:30 | #28 |
/// Winkelfunktion /// TB-Süch-Tiger™ | zwei Fehlermeldungen RUNDLL [gelöst] Nee eigentlich nicht Hast Du eine WinXP zur Hand?
__________________ Logfiles bitte immer in CODE-Tags posten |
12.11.2010, 18:45 | #29 |
| zwei Fehlermeldungen RUNDLL [gelöst] eine CD oder was meinst du? habe ich leider gerade nicht. vielleicht habe ich das auch falsch gemacht? beim hochfahren kommt dieses bootmenü für 2 sek., in dem man zwischen xp und der konsole wählen kann. da habe ich das ausgewählt. richtig? |
12.11.2010, 18:54 | #30 |
/// Winkelfunktion /// TB-Süch-Tiger™ | zwei Fehlermeldungen RUNDLL [gelöst] Ja die Wiederherstellungskonsole musst du auswählen, richtig. Aber die lädt ja nicht Mit einer XP-CD meine ich eine ganz normale Windows-XP-Installations-CD. Kein Recovery-Gedöns. Notfalls sowas leihen von einem Bekannten oder so.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu zwei Fehlermeldungen RUNDLL |
ahnung, antivir, c:\windows, computer, conficker, dinge, dll, fehlermeldungen, gen, hochfahren, kurzem, laden, modul, namen, nichts, rechner, rundll, schei, systemwiederherstellung, troja, trojaner, vergessen, verschwindet, versucht, windows |