| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rechner langsam nach Viren-LöschungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.11.2010, 16:53
| #16 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Rechner langsam nach Viren-Löschung Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.02.15 03:06:22 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O33 - MountPoints2\{512c8de6-3421-11df-af57-0013024ad968}\Shell - "" = Autorun
O33 - MountPoints2\{512c8de6-3421-11df-af57-0013024ad968}\Shell\verb\command - "" = C:\WINDOWS\explorer.exe -- [2008.04.14 03:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation)
O33 - MountPoints2\{e30f45b9-caef-11dd-af40-0013024ad968}\Shell - "" = AutoRun
O33 - MountPoints2\{e30f45b9-caef-11dd-af40-0013024ad968}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e30f45b9-caef-11dd-af40-0013024ad968}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found
[2010.11.08 21:40:45 | 000,000,000 | ---D | C] -- C:\Microsoft.Office.2010.Professional.Plus.GERMAN.x86.x64.FRiENDS.ONLY-BIE
[2010.11.08 21:30:35 | 000,000,000 | ---D | C] -- C:\RUSE_The_Art_Of_Deception_XBOX360-SPARE
[2010.10.31 11:17:25 | 000,007,549 | ---- | C] () -- C:\WINDOWS\System32\novav7.ctm
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
12.11.2010, 11:17
| #17 |
 | Rechner langsam nach Viren-Löschung Hallo cosinus,
__________________hat etwas länger gedauert (sorry) aber ich habe den Fix jetzt durchgeführt. Das Log habe ich angehangen. Gruß, Flino |
|
12.11.2010, 13:55
| #18 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rechner langsam nach Viren-Löschung Dann bitte jetzt CF ausführen:
__________________ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ |
|
12.11.2010, 15:57
| #19 |
| | Rechner langsam nach Viren-Löschung Hallo cosinus, habe mich durch die Liste gearbeitet mit folgendem Ergbins: CCleaner hat bei der Registry Reinigung einen Eintrag immer wieder gefunden, auch nach dem 10. Durchlauf (siehe angehänte .jpg file). Ansonsten gab es hier keine Probleme. (Jedoch ist eure Anleitung veraltet. Anstelle der Jahoo! Toolbar möchte er jetzt im nächsten Schritt Google Chrome installieren.) Für Combofix musste ich Avira deinstallieren, da ich es nicht deaktiviert bekommen habe. Ich habe sogar den Autostart des Programms deaktiviert und neugestartet aber irgendwo im Hintergrund lief es trotzdem weiter. Danach habe ich CF laufen lassen mit folgendem Ergebnis: Combofix Logfile: Code:
ATTFilter ComboFix 10-11-11.02 - *** 12.11.2010 15:40:00.1.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3070.2595 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\***\Anwendungsdaten\inst.exe
c:\programme\WinPCap
c:\programme\WinPCap\daemon_mgm.exe
c:\programme\WinPCap\npf_mgm.exe
c:\programme\WinPCap\rpcapd.exe
c:\windows\fix.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_NPF
((((((((((((((((((((((( Dateien erstellt von 2010-10-12 bis 2010-11-12 ))))))))))))))))))))))))))))))
.
2010-11-12 13:56 . 2010-11-12 13:56 -------- d-----w- c:\programme\CCleaner
2010-11-12 10:05 . 2010-11-12 10:05 -------- d-----w- C:\_OTL
2010-11-08 14:58 . 2010-09-18 06:52 953856 ------w- c:\windows\system32\dllcache\mfc40u.dll
2010-11-08 14:58 . 2010-09-18 06:52 974848 ------w- c:\windows\system32\dllcache\mfc42.dll
2010-11-08 14:57 . 2010-08-23 16:11 617472 ------w- c:\windows\system32\dllcache\comctl32.dll
2010-11-08 14:30 . 2010-11-08 14:30 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-11-08 14:30 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-08 14:30 . 2010-11-08 14:30 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-11-08 14:30 . 2010-11-08 14:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-08 14:30 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-07 11:32 . 2010-11-07 11:32 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote
2010-11-07 11:32 . 2010-11-07 11:32 -------- d-----w- c:\programme\ConduitEngine
2010-11-07 11:32 . 2010-11-07 11:32 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ConduitEngine
2010-11-07 11:32 . 2010-11-07 11:32 -------- d-----w- c:\programme\Vuze_Remote
2010-11-07 11:32 . 2010-11-07 11:32 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp
2010-11-06 10:08 . 2010-11-06 10:08 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2010-11-06 10:08 . 2010-11-06 10:08 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2010-11-06 10:00 . 2010-11-06 10:00 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2010-11-06 10:00 . 2010-11-06 10:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-11-06 10:00 . 2010-11-06 10:00 -------- d-----w- c:\programme\SUPERAntiSpyware
2010-11-06 09:53 . 2010-11-06 09:53 -------- d---a-w- C:\Navilog1
2010-11-06 09:53 . 2010-11-06 09:53 -------- d-----w- c:\programme\Navilog1
2010-11-06 09:51 . 2010-11-06 09:51 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2010-10-31 11:35 . 2010-10-31 11:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData
2010-10-31 10:43 . 2010-10-31 10:43 -------- d-----w- c:\programme\PDF Annotator
2010-10-31 10:17 . 2010-10-31 10:17 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Softland
2010-10-31 10:17 . 2010-10-31 10:17 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Softland
2010-10-31 10:17 . 2010-02-05 14:00 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2010-10-31 10:17 . 2010-10-31 10:17 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PDF Annotator
2010-10-23 09:40 . 2010-10-23 09:40 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\whyteboard
2010-10-23 09:36 . 2010-10-23 09:36 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mendeley Ltd
2010-10-13 21:05 . 2010-10-13 21:05 -------- d-----w- c:\windows\system32\NtmsData
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 11:22 . 2004-08-04 04:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-04 04:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-04 04:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-04 04:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-08-04 04:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-04 04:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-04 04:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-09-01 11:50 . 2004-08-04 04:00 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2004-08-04 04:00 1852928 ----a-w- c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2004-08-04 04:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2004-08-04 04:00 99840 ----a-w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 06:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-08-04 04:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2004-08-04 04:00 617472 ----a-w- c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2004-08-04 04:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2004-08-04 04:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuze.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-10-18 11:26 3908192 ----a-w- c:\programme\ConduitEngine\ConduitEngine.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-10-18 11:26 3908192 ----a-w- c:\programme\Vuze_Remote\tbVuze.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuze.dll" [2010-10-18 3908192]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\ConduitEngine.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\programme\Vuze_Remote\tbVuze.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-14 7331840]
"nwiz"="nwiz.exe" [2005-12-14 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-14 86016]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2005-12-13 344064]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microtek Scanner Finder.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microtek Scanner Finder.lnk
backup=c:\windows\pss\Microtek Scanner Finder.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer ePower Management]
2005-11-18 15:06 3079680 begin_of_the_skype_highlighting**************06 3079680******end_of_the_skype_highlighting ----a-w- c:\acer\Empowering Technology\ePower\Acer ePower Management.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ADMTray.exe]
2005-10-24 15:45 2462208 ----a-w- c:\acer\Empowering Technology\admtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-24 03:16 203928 ----a-w- d:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
2005-12-21 14:02 53248 ------w- c:\programme\Realtek\InstallShield\AzMixerSel.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2008-04-14 02:23 110592 ----a-w- c:\windows\system32\bthprops.cpl
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2009-03-23 18:00 1983816 ----a-w- c:\programme\Canon\MyPrinter\BJMYPRT.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-07-24 15:02 490952 ----a-w- d:\programme\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 01:50 1144104 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]
2005-10-19 08:30 69632 ----a-w- c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ePower_DMC]
2005-12-13 16:08 344064 ----a-w- c:\acer\Empowering Technology\ePower\ePower_DMC.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
2005-11-16 16:00 397312 ----a-w- c:\acer\Empowering Technology\eRecovery\Monitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 22:47 31016 ----a-w- d:\programme\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-04-25 08:25 133368 ----a-w- c:\programme\ICQ7.1\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IJNetworkScanUtility]
2009-05-19 17:39 136544 ----a-w- c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
2006-01-09 17:23 589824 ----a-w- c:\progra~1\LAUNCH~1\LManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2005-12-13 20:31 151552 ------w- c:\programme\Acer\Acer Arcade\PCMService.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2005-02-15 02:39 98304 ----a-w- c:\programme\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2005-12-19 13:52 15797248 ----a-w- c:\windows\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23 149280 ----a-w- d:\programme\Java\jre6\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2005-07-20 14:05 729177 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-07-12 16:32 74752 ----a-w- d:\programme\Winamp\winampa.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Acer\\Acer Arcade\\PCMService.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\eMule\\emule.exe"=
"d:\\Games\\SNES\\zsnesw_2.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\ICQ7.1\\aolload.exe"=
"d:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\Programme\\Vuze\\Azureus.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16594:TCP"= 16594:TCP:Vuze
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.11.2008 12:05 721904]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [04.08.2004 05:00 14336]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 21:46 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 21:46 27072]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.internetcologne.de
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\j4v4ysoh.default\
FF - prefs.js: browser.search.selectedEngine - Google.de
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: d:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
SafeBoot-AVG Anti-Spyware Driver
SafeBoot-AVG Anti-Spyware Guard
MSConfigStartUp-!AVG Anti-Spyware - d:\programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe
MSConfigStartUp-DAEMON Tools - d:\programme\DAEMON Tools\daemon.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-12 15:44
Windows 5.1.2600 Service Pack 3 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(668)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
- - - - - - - > 'explorer.exe'(2088)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\acer\Empowering Technology\admServ.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
d:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-12 15:46:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-11-12 14:46
Vor Suchlauf: 20 Verzeichnis(se), 26.250.641.408 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 26.119.897.088 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - BF3DA20DACD35472D9F91AC3EC28B437
Gruß, Flino |
|
12.11.2010, 16:09
| #20 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rechner langsam nach Viren-Löschung Ja, die Anleitungen könnte man mal wieder überarbeiten. Leider ist da nicht immer Zeit für da, und es ist auch sehr schwierig jede Änderung mitzubekommen, die sich auf die Anleitung auswirkt, also im Zweifel einfach einmal mehr als nachfragen. Zitat:
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.11.2010, 17:16
| #21 |
| | Rechner langsam nach Viren-Löschung Hallo cosinus, ich muss einen zwischen Schritt einlegen. Kannst du mir vielleicht auch bei Avira helfen? Ich bekomme das Programm nicht beendet. Ich kann es zwar deaktivieren (reicht das schon um GMER und osam laufen zu lassen?) aber nicht komplett beenden. Wenn ich den Prozess direkt im Taskmanager killen will wird mir der Zugriff verweigert, genau wie wenn ich versuche die Dienste in der Verwaltung von XP zu deaktivieren. Ich bin definitiv Systemadmin und ich will nicht jedes mal wenn ich eine Log erstellen muss das ganze Programm löschen und neu installieren -.- Gruß, Flino |
|
12.11.2010, 17:18
| #22 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rechner langsam nach Viren-Löschung Regenschirm schließen reicht.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.11.2010, 17:47
| #23 |
| | Rechner langsam nach Viren-Löschung So... habe alle drei Logs erstellt und angehangen. Gruß, Flino |
|
12.11.2010, 18:41
| #24 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rechner langsam nach Viren-Löschung Wir müssen wohl den MBR reparieren. Hast Du noch andere Betriebssystem außer WinXP drauf? Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.11.2010, 19:11
| #25 |
| | Rechner langsam nach Viren-Löschung Done. Hier das neue Log. Gruß, Flino |
|
14.11.2010, 07:53
| #26 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rechner langsam nach Viren-LöschungCode:
ATTFilter Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
14.11.2010, 13:55
| #27 |
| | Rechner langsam nach Viren-Löschung Hallo cosinus, habe die Vollscans durchgeführt. Malwarebytes konnte nichts finden und SUPERAntiSpyware fand Tracking Cookies. Nach den Scans habe ich den Rechner neugestartet und da hat mir Avira direkt eine Warnung gegeben (siehe jpg). Gruß, Flino |
|
14.11.2010, 19:00
| #28 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rechner langsam nach Viren-Löschung Sieht an für sich ok aus. Was hat AntiVir da genau gefunden? Der Screenshot ist nutzlos weil der Pfad zur uninstall.exe nicht angezeigt wird.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
15.11.2010, 07:53
| #29 |
| | Rechner langsam nach Viren-Löschung Oh, sorry. Hier sind ein paar mehr Details. Gruß, Flino |
|
15.11.2010, 08:42
| #30 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rechner langsam nach Viren-Löschung Ist ein Fehlalarm, die uninstall.exe ist vom legitimen Programm Notepad++
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Rechner langsam nach Viren-Löschung |
| anleitung, anti-malware, bericht, dateien, explorer, folge, handle, home, infizierte, infizierte dateien, langsam, malwarebytes, microsoft, programm, rechner, rechner langsam, software, superantispyware, systemwiederherstellung, trojan.fakealert, trojaner, verschwunden, viren, virus, werbung, winxp, winxp home, xp home |
Linear-Darstellung
