| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Microsoft Security Essentials AlertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.02.2011, 15:47
| #1 |
 |  Microsoft Security Essentials Alert Hallo, ich habe mir den Microsoft Security Essentials Alert eingefangen. War mal kurz mit Administrator Rechten im web, da noch Einstellungen vorzunehmen waren. Als ich die erste Meldung auf dem Bildschirm sah, habe ich den Rechner runtergefahren, mit UBCD4Win gebootet und nach dem Eindringling gesucht. Und gefunden: 1. "C:\Dokumente und Einstellungen\***\Anwendungsdaten\dcrqkp.exe" 2. „HKEY_USERS\S-1-5-21-535966145-2296143873-1583246499-1005\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=...C:\Dokumente und Einstellungen\***\Anwendungsdaten\dcrqkp.exe...“ Zunächst mal die „dcrqkp.exe“ in „dcrqkpold.exe“ umbenannt. Danach den Rechner gebootet und eure Anleitung http://www.trojaner-board.de/89781-m...entfernen.html abgearbeitet. MBAM hat 3 Sachen gefunden (eine davon eine rkill.com Variante), aber nicht den o.g. Registryeintrag. Alle 3 gefundenen „Quarantined and deleted successfully“. Den o.g. Registryeintrag mit Spybot gefunden und entfernt sowie die dcrqkpold.exe gelöscht. Danach Vorgehensweise gemäß http://www.trojaner-board.de/89918-l...e-larusso.html Anliegend die Log files incl. des alten SpybotSD.report. Interessant finde ich, dass Spybot dem Schädling erlaubt hat die Registry zu ändern (Auszug aus der resident.log): „25.02.2011 17:34:24 Erlaubt (based on user decision) value "Shell" (new data: "C:\Dokumente und Einstellungen\***\Anwendungsdaten\dcrqkp.exe")“ Zur Zeit keine Symptome. Was sagt ihr dazu? Grüsse, Andi1111 Geändert von Andi1111 (27.02.2011 um 15:54 Uhr) |
|
27.02.2011, 21:47
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Microsoft Security Essentials AlertZitat:
mach bitte einen Vollscan mit aktuellen Signaturen. Poste alle Logs, die im Reiter Logdateien zu sehen sind.
__________________ |
|
28.02.2011, 07:40
| #3 |
| | Microsoft Security Essentials Alert Hallo,
__________________Anliegend alle Logfiles aus MBAM inkl. dem aktuellsten Vollscan. Grüsse, Andi1111 |
|
28.02.2011, 12:34
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Microsoft Security Essentials Alert Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
28.02.2011, 18:27
| #5 |
| | Microsoft Security Essentials Alert Hallo, CF hat keinen Wiederherstellungspunkt angelegt. Fehlermeldung zeigte etwas wie "Script deaktiviert. Administrator fragen". Ansonsten lief es glatt durch. Siehe log.txt Combofix Logfile: Code:
ATTFilter ComboFix 11-02-27.03 - *** 28.02.2011 17:43:05.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Cofi.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\ST6UNST.000
E:\Autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2011-01-28 bis 2011-02-28 ))))))))))))))))))))))))))))))
.
2011-02-28 15:55 . 2011-02-28 15:55 -------- d-----w- c:\programme\CCleaner
2011-02-27 09:37 . 2011-02-27 09:37 -------- d-----w- c:\programme\ERUNT
2011-02-27 09:02 . 2011-02-27 09:02 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2011-02-26 21:23 . 2011-02-26 21:23 -------- d-sh--w- c:\dokumente und einstellungen\***\IECompatCache
2011-02-26 14:36 . 2011-02-26 14:36 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-02-26 14:35 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-26 14:35 . 2011-02-26 14:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-26 14:35 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-26 14:35 . 2011-02-26 20:38 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-02-19 16:04 . 2011-02-19 16:54 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Mp3tag
2011-02-14 12:19 . 2011-02-14 12:19 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\TeamViewer
2011-02-14 12:18 . 2011-01-12 09:42 25088 ----a-w- c:\windows\system32\drivers\teamviewervpn.sys
2011-02-14 12:18 . 2011-02-14 12:18 -------- d-----w- c:\programme\TeamViewer
2011-02-04 12:45 . 2011-02-04 12:45 -------- d-----w- c:\programme\Mp3tag
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2004-08-04 08:00 440832 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-13 10:14 . 2011-01-13 10:15 495616 ----a-w- c:\windows\system32\Gqstsp.tsp
2011-01-07 14:09 . 2004-08-04 08:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2004-08-04 08:00 1855104 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-08-04 08:00 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-21 17:18 . 2010-12-21 17:18 1008768 ----a-w- c:\windows\system32\ieconfig_1und1.dll
2010-12-20 23:52 . 2004-08-04 08:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2004-08-04 08:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2004-08-04 08:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2004-08-04 08:00 737792 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2004-08-04 08:00 385024 ----a-w- c:\windows\system32\html.iec
2010-12-09 15:15 . 2004-08-04 08:00 743936 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2004-08-04 08:00 2029568 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-12-09 15:13 . 2004-08-04 08:00 2151424 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-12-09 14:29 . 2004-08-04 08:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2010-12-01 15:37 . 2010-12-01 15:36 253952 ------w- c:\windows\Setup1.exe
2010-12-01 15:37 . 2010-12-01 15:27 74752 ----a-w- c:\windows\ST6UNST.EXE
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iPhone Explorer Launcher"="c:\programme\Software4u\iPhone Explorer\Software4u.IPELauncher.exe" [2010-11-23 47104]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsmqIntCert"="mqrt.dll" [2008-04-14 177152]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"PTHOSTTR"="c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 827392]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2005-12-20 1187840]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-09 806912]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-10-09 697976]
"Cpqset"="c:\programme\Hewlett-Packard\Default Settings\cpqset.exe" [2007-01-02 40960]
"WatchDog"="c:\programme\InterVideo\DVD Check\DVDCheck.exe" [2007-05-23 192512]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2007-7-17 49152]
c:\dokumente und einstellungen\Admin\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2007-7-17 49152]
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2007-7-17 49152]
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2007-7-17 49152]
c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2007-7-17 49152]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-6 561213]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
tclock.exe.lnk - c:\programme\tclocklight-040702-3\tclock.exe [2010-11-28 44544]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2007-7-17 49152]
c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2007-7-17 49152]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2007-02-07 01:30 74240 ----a-r- c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\APSHook.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mqsvc.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\vtigercrm-5.1.0\\mysql\\bin\\mysqld-nt.exe"=
"c:\\Programme\\vtigercrm-5.1.0\\apache\\bin\\Apache.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\SuperSync\\SuperSync.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [07.02.2007 10:22 100495]
R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [09.10.2006 12:31 44720]
R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [29.03.2007 15:54 13696]
R1 RsvLock;RsvLock;c:\windows\system32\drivers\rsvlock.sys [07.02.2007 10:23 5808]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.10.2009 22:15 108289]
R2 ASBroker;Anmeldesitzungsbroker;c:\windows\System32\svchost.exe -k Cognizance [04.08.2004 09:00 14336]
R2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe -k Cognizance [04.08.2004 09:00 14336]
R2 HpFkCryptService;Drive Encryption Service;c:\programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [29.03.2007 16:50 221184]
R2 vtigercrmMysql510;vtigercrmMysql510;c:\programme\vtigercrm-5.1.0\mysql\bin\mysqld-nt --defaults-file=c:\programme\vtigercrm-5.1.0\mysql\my.ini vtigercrmMysql510 --> c:\programme\vtigercrm-5.1.0\mysql\bin\mysqld-nt --defaults-file=c:\programme\vtigercrm-5.1.0\mysql\my.ini vtigercrmMysql510 [?]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [19.09.2006 17:58 36608]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [14.02.2011 13:18 25088]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [04.11.2010 22:01 18432]
S3 VirtDisk;XSS Virtual Disk Driver;c:\windows\SMINST\virtdisk.sys [27.07.2007 01:42 57344]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
Cognizance REG_MULTI_SZ ASBroker ASChannel
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
HPService REG_MULTI_SZ HPSLPSVC
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-04-19 11:23 452136 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
2011-01-24 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\programme\Spybot - Search & Destroy\SpybotSD.exe [2008-06-26 12:45]
2011-02-28 c:\windows\Tasks\User_Feed_Synchronization-{96CF3D18-9BF8-44C4-B553-3AC8F99244E0}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
2011-01-21 c:\windows\Tasks\vtigerCRM Email Reminder.job
- c:\programme\vtigercrm-5.1.0\apache\htdocs\vtigerCRM\modules\Calendar\SendReminder.bat [2006-08-10 14:04]
2011-02-28 c:\windows\Tasks\vtigerCRM Notification Scheduler.job
- c:\programme\vtigercrm-5.1.0\apache\htdocs\vtigerCRM\cron\intimateTaskStatus.bat [2007-04-13 15:21]
2011-01-21 c:\windows\Tasks\vtigerCRM Recurring Invoice.job
- c:\programme\vtigercrm-5.1.0\apache\htdocs\vtigerCRM\cron\modules\SalesOrder\RecurringInvoiceCron.bat [2009-06-03 06:44]
2011-02-28 c:\windows\Tasks\vtigerCRM WorkFlow.job
- c:\programme\vtigercrm-5.1.0\apache\htdocs\vtigerCRM\cron\modules\com_vtiger_workflow\com_vtiger_workflow.bat [2009-06-03 06:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s
IE: Free YouTube Download - c:\dokumente und einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-hpWirelessAssistant - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
HKLM-Run-QlbCtrl - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-28 17:53
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programme\Hewlett-Packard\Default Settings\cpqset.exe??@???????????????@?????0_????????@???????@
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vtigercrmMysql510]
"ImagePath"="c:\programme\vtigercrm-5.1.0\mysql\bin\mysqld-nt --defaults-file=c:\programme\vtigercrm-5.1.0\mysql\my.ini vtigercrmMysql510"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1120)
c:\windows\system32\Ati2evxx.dll
c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\programme\Hewlett-Packard\IAM\bin\ItMsg.dll
c:\programme\Hewlett-Packard\IAM\Bin\TrayIcon.dll
c:\programme\Hewlett-Packard\IAM\bin\HPBrand.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\HPBrand.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\ItMsg.dll
c:\programme\Hewlett-Packard\IAM\Bin\ASChnl.dll
- - - - - - - > 'explorer.exe'(800)
c:\windows\system32\APSHook.dll
c:\windows\system32\btmmhook.dll
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\msdtc.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\vtigercrm-5.1.0\mysql\bin\mysqld-nt.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\mqsvc.exe
c:\windows\system32\mqtgsvc.exe
c:\programme\Hewlett-Packard\IAM\bin\asghost.exe
c:\windows\system32\SearchProtocolHost.exe
c:\programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\System32\SCardSvr.exe
c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\programme\Hewlett-Packard\Shared\HpqToaster.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe
c:\programme\HP\Digital Imaging\bin\hpqbam08.exe
c:\programme\HP\Digital Imaging\bin\hpqgpc01.exe
c:\windows\system32\SearchFilterHost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-28 18:01:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-02-28 17:01
Vor Suchlauf: 10 Verzeichnis(se), 71.455.944.704 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 71.286.714.368 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
[spybotsd]
timeout.old=0
- - End Of File - - 1F9F353018111F9B096B7275B799EAD7
Grüsse, Andi |
|
28.02.2011, 20:40
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Microsoft Security Essentials Alert Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ --> Microsoft Security Essentials Alert |
|
01.03.2011, 08:56
| #7 |
| | Microsoft Security Essentials Alert Hi Arne, Nachfolgend die GMER und Osam logs: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-01 07:28:38
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160821AS rev.3.BHE
Running: g2m3e4r.exe; Driver: C:\DOKUME~1\E8980~1.***\LOKALE~1\Temp\pxldipow.sys
---- System - GMER 1.0.15 ----
SSDT F7BC863E ZwCreateKey
SSDT F7BC8634 ZwCreateThread
SSDT F7BC8643 ZwDeleteKey
SSDT F7BC864D ZwDeleteValueKey
SSDT F7BC8652 ZwLoadKey
SSDT F7BC8620 ZwOpenProcess
SSDT F7BC8625 ZwOpenThread
SSDT F7BC865C ZwReplaceKey
SSDT F7BC8657 ZwRestoreKey
SSDT F7BC8648 ZwSetValueKey
SSDT F7BC862F ZwTerminateProcess
INT 0x01 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F5AFE59A
INT 0x03 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F5AFE655
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\drivers\SafeBoot.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF5980000, 0x17D80E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\SMINST\Scheduler.exe[1480] USER32.dll!GetSysColor 7E368E78 5 Bytes JMP 0041C110 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1480] USER32.dll!GetSysColorBrush 7E368EAB 5 Bytes JMP 0041C180 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1480] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 0041C000 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1480] USER32.dll!GetScrollInfo 7E37DFE2 7 Bytes JMP 0041BF50 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1480] USER32.dll!ShowScrollBar 7E37F2F2 5 Bytes JMP 0041C0D0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1480] USER32.dll!GetScrollPos 7E37F704 5 Bytes JMP 0041BF90 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1480] USER32.dll!SetScrollPos 7E37F750 5 Bytes JMP 0041C040 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1480] USER32.dll!GetScrollRange 7E37F787 5 Bytes JMP 0041BFC0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1480] USER32.dll!SetScrollRange 7E37F99B 5 Bytes JMP 0041C080 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1480] USER32.dll!EnableScrollBar 7E3B8005 7 Bytes JMP 0041BF10 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\system32\SearchIndexer.exe[1800] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
Device Ntfs.sys (NT File System Driver/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore@DisableSR \t 1
---- EOF - GMER 1.0.15 ----
OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 07:51:33 on 01.03.2011 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [AppInit DLLs] -----( HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows )----- "AppInit_DLLs" - "Bioscrypt Inc." - C:\WINDOWS\system32\APSHook.dll [Common] -----( %SystemRoot%\Tasks )----- "Spybot - Search & Destroy - Scheduled Task.job" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SpybotSD.exe "vtigerCRM Email Reminder.job" - ? - C:\Programme\vtigercrm-5.1.0\apache\htdocs\vtigerCRM\modules\Calendar\SendReminder.bat "vtigerCRM Notification Scheduler.job" - ? - C:\Programme\vtigercrm-5.1.0\apache\htdocs\vtigerCRM\cron\intimateTaskStatus.bat "vtigerCRM WorkFlow.job" - ? - C:\Programme\vtigercrm-5.1.0\apache\htdocs\vtigerCRM\cron\modules\com_vtiger_workflow\com_vtiger_workflow.bat "vtigerCRM Recurring Invoice.job" - ? - C:\Programme\vtigercrm-5.1.0\apache\htdocs\vtigerCRM\cron\modules\SalesOrder\RecurringInvoiceCron.bat [Control Panel Objects] -----( %SystemRoot%\system32 )----- "accelerometercp.CPL" - "Hewlett-Packard Corporation" - C:\WINDOWS\system32\accelerometercp.CPL "btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Accelerometer" - "Hewlett-Packard Corporation" - C:\WINDOWS\system32\accelerometercp.cpl "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "CognizanceWS" - "Cognizance Corporation" - C:\PROGRA~1\HEWLET~1\IAM\Bin\Settings.dll "HPWACpl" - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Wireless Assistant\WACntlPnl.cpl "mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL "PTHOST.CPL" - " Hewlett-Packard Development Company, L.P" - C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOST.CPL "QlbConfig" - " Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbConfg.cpl "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl "SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\Cofi\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "cpuz132" (cpuz132) - "Windows (R) Codename Longhorn DDK provider" - C:\WINDOWS\system32\drivers\cpuz132_x32.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "pxldipow" (pxldipow) - ? - C:\DOKUME~1\E8980~1.***\LOKALE~1\Temp\pxldipow.sys (Hidden registry entry, rootkit activity | File not found) "RsvLock" (RsvLock) - "SafeBoot International" - C:\WINDOWS\system32\drivers\RsvLock.sys "SafeBoot" (SafeBoot) - "SafeBoot International" - C:\WINDOWS\system32\drivers\SafeBoot.sys (File is exclusively opened, access blocked) "SbAlg" (SbAlg) - "SafeBoot N.V." - C:\WINDOWS\system32\drivers\SbAlg.sys "SbFsLock" (SbFsLock) - "SafeBoot International" - C:\WINDOWS\system32\drivers\SbFsLock.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\WINDOWS\System32\drivers\truecrypt.sys "USB RNDIS Adapter" (usb_rndisx) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\usb8023x.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "XSS Virtual Disk Driver" (VirtDisk) - "XSS" - C:\WINDOWS\SMINST\VirtDisk.sys [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {10880D85-AAD9-4558-ABDC-2AB1552D831F} "LightScribe Control Panel" - "Hewlett-Packard Company" - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe" {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL {91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {56F9679E-7826-4C84-81F3-532071A8BCC5} "Windows Desktop Search Namespace Manager" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\btneighborhood.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll {D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? - (File not found | COM-object registry key not found) {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL {7F67036B-66F1-411A-AD85-759FB9C5B0DB} "SampleView" - "XSS" - C:\WINDOWS\system32\ShellvRTF.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL {8FF88D27-7BD0-11D1-BFB7-00AA00262A11} "WinAceContext Menu (Add) Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll {8FF88D21-7BD0-11D1-BFB7-00AA00262A11} "WinAceContext Menu Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll {8FF88D25-7BD0-11D1-BFB7-00AA00262A11} "WinAceDrag-Drop Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll {8FF88D23-7BD0-11D1-BFB7-00AA00262A11} "WinAceProperty Sheet Extension" - "e-merge GmbH" - C:\Programme\WinAce\arcext.dll {13E7F612-F261-4391-BEA2-39DF4F3FA311} "Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\msnlExt.dll {da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? - (File not found | COM-object registry key not found) [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "Java Plug-in 1.6.0" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10m.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab {17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? - (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {DDE87865-83C5-48c4-8357-2F5B1AA84522} "HP Intelligente Auswahl" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL {898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype Plug-In" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} "1&&1 Internet AG Browser Configuration by mquadr.at" - "mquadr.at software engineering und consulting GmbH" - C:\WINDOWS\system32\ieconfig_1und1.dll {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {DF21F1DB-80C6-11D3-9483-B03D0EC10000} "Credential Manager for HP ProtectTools" - "Bioscrypt Inc." - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll {0347C33E-8762-4905-BF09-768834316C61} "HP Print Enhancer" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} "HP Smart BHO Class" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype Plug-In" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "HP Digital Imaging Monitor.lnk" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe (Shortcut exists | File exists) "Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE (Shortcut exists | File exists) "tclock.exe.lnk" - "Kazubon" - C:\Programme\tclocklight-040702-3\tclock.exe (Shortcut exists | File exists) "BTTray.lnk" - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "iPhone Explorer Launcher" - "Marx Softwareentwicklung - www.software4u.de" - "C:\Programme\Software4u\iPhone Explorer\Software4u.IPELauncher.exe" /run "QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "CognizanceTS" - "Cognizance Corporation" - rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule "Cpqset" - ? - C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe (File found, but it contains no detailed information) "HP Software Update" - "Hewlett-Packard" - C:\Programme\HP\HP Software Update\HPWuSchd2.exe "iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe" "NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe "PTHOSTTR" - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start "QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime "Recguard" - ? - C:\WINDOWS\Sminst\Recguard.exe "Reminder" - ? - C:\WINDOWS\Creator\Remind_XP.exe "Scheduler" - ? - C:\WINDOWS\SMINST\Scheduler.exe "StartCCC" - ? - "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" (File found, but it contains no detailed information) "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" "WatchDog" - "InterVideo Inc." - C:\Programme\InterVideo\DVD Check\DVDCheck.exe [Network Providers] -----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )----- "Credential Manager" - "Cognizance Corporation" - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll "HP FVE Network Provider" - "SafeBoot International" - c:\WINDOWS\SbHpNp.DLL [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll "PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "AAV UpdateService" (AAV UpdateService) - ? - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe "Anmeldesitzungsbroker" (ASBroker) - "Cognizance Corporation" - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "Drive Encryption Service" (HpFkCryptService) - "SafeBoot International" - c:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe "HP CUE DeviceDiscovery Service" (hpqddsvc) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll "HP Network Devices Support" (HPSLPSVC) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\HPSLPSVC32.DLL "hpqcxs08" (hpqcxs08) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll "hpqwmiex" (hpqwmiex) - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "IviRegMgr" (IviRegMgr) - "InterVideo" - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe "Lokaler Verbindungskanal" (ASChannel) - "Cognizance Corporation" - C:\Programme\Hewlett-Packard\IAM\Bin\ASChnl.dll "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE "Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZinw12.dll "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "PC Angel" (PCA) - "SoftThinks" - C:\WINDOWS\SMINST\PCAngel.exe "Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZipm12.dll "RoxMediaDB9" (RoxMediaDB9) - "Sonic Solutions" - c:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe "stllssvr" (stllssvr) - "MicroVision Development, Inc." - c:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe "vtigercrmMysql510" (vtigercrmMysql510) - ? - C:\Programme\vtigercrm-5.1.0\mysql\bin\mysqld-nt.exe (File found, but it contains no detailed information) "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {8F51D94E-8B89-4844-B15C-9C049BA0F49F} "DLLName" - "Cognizance Corporation" - C:\Programme\Hewlett-Packard\IAM\Bin\ItVCard.dll -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "OneCard" - "Cognizance Corporation" - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== Vielen Dank schon mal!! Grüsse, Andi |
|
01.03.2011, 08:58
| #8 |
| | Microsoft Security Essentials Alert Und hier der MBRCheck: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000001c Kernel Drivers (total 152): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E6000 \WINDOWS\system32\hal.dll 0xF7987000 \WINDOWS\system32\KDCOM.DLL 0xF7897000 \WINDOWS\system32\BOOTVID.dll 0xF7357000 ACPI.sys 0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7346000 pci.sys 0xF7487000 isapnp.sys 0xF7497000 ohci1394.sys 0xF74A7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF789B000 compbatt.sys 0xF789F000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF7A4F000 pciide.sys 0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF798B000 intelide.sys 0xF798D000 viaide.sys 0xF798F000 aliide.sys 0xF7328000 pcmcia.sys 0xF74B7000 MountMgr.sys 0xF7309000 ftdisk.sys 0xF7991000 dmload.sys 0xF72E3000 dmio.sys 0xF78A3000 ACPIEC.sys 0xF7A50000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF770F000 PartMgr.sys 0xF74C7000 VolSnap.sys 0xF72CB000 atapi.sys 0xF74D7000 SbAlg.sys 0xF74E7000 disk.sys 0xF74F7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF72AB000 fltmgr.sys 0xF7993000 SbFsLock.sys 0xF7299000 sr.sys 0xF7507000 PxHelp20.sys 0xF7282000 KSecDD.sys 0xF71F5000 Ntfs.sys 0xF71C8000 NDIS.sys 0xF71B0000 SafeBoot.sys 0xF7196000 Mup.sys 0xF7517000 hpdskflt.sys 0xF75A7000 \SystemRoot\system32\DRIVERS\AmdK8.sys 0xF597F000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xF596B000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF5940000 \SystemRoot\system32\DRIVERS\b57xp32.sys 0xF77C7000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xF5888000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF77CF000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF75B7000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF75C7000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF75D7000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF5865000 \SystemRoot\system32\DRIVERS\ks.sys 0xF77D7000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0xF583D000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF5829000 \SystemRoot\system32\DRIVERS\parport.sys 0xF75E7000 \SystemRoot\system32\DRIVERS\IFXTPM.SYS 0xF75F7000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF77DF000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys 0xF7607000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS 0xF57B8000 \SystemRoot\system32\DRIVERS\Wdf01000.sys 0xF7847000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF5786000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF79CF000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF784F000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7617000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xF7627000 \SystemRoot\system32\DRIVERS\Accelerometer.sys 0xF7927000 \SystemRoot\system32\DRIVERS\cpqbttn.sys 0xF7637000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF7857000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF792B000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF792F000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xF56B6000 \SystemRoot\system32\DRIVERS\btkrnl.sys 0xF7BC1000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7647000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7933000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF569F000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF5D17000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF5D07000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF785F000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF568E000 \SystemRoot\system32\DRIVERS\psched.sys 0xF5CF7000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7867000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF786F000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF7877000 \SystemRoot\system32\DRIVERS\teamviewervpn.sys 0xF565E000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF5CE7000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF79D3000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF5600000 \SystemRoot\system32\DRIVERS\update.sys 0xF6037000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF6023000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xF787F000 \SystemRoot\system32\DRIVERS\btport.sys 0xF5558000 \SystemRoot\system32\drivers\btaudio.sys 0xF5534000 \SystemRoot\system32\drivers\portcls.sys 0xF5CD7000 \SystemRoot\system32\drivers\drmk.sys 0xF670B000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xEC2DD000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF6603000 \SystemRoot\system32\drivers\ADIHdAud.sys 0xF65EC000 \SystemRoot\system32\drivers\AEAudio.sys 0xF64D0000 \SystemRoot\system32\DRIVERS\AGRSM.sys 0xF783F000 \SystemRoot\System32\Drivers\Modem.SYS 0xF7A21000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7B91000 \SystemRoot\System32\Drivers\Null.SYS 0xF7A29000 \SystemRoot\System32\Drivers\Beep.SYS 0xB6BF6000 \SystemRoot\System32\drivers\vga.sys 0xF7A2B000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7A2D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xB6BEE000 \SystemRoot\System32\Drivers\Msfs.SYS 0xB6BE6000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF5D2C000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xB5B04000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xB5AAB000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xB5A83000 \SystemRoot\system32\DRIVERS\netbt.sys 0xB5A5D000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xB5A3B000 \SystemRoot\System32\drivers\afd.sys 0xB7629000 \SystemRoot\system32\DRIVERS\netbios.sys 0xB7609000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xB67EC000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xB5A06000 \SystemRoot\System32\drivers\truecrypt.sys 0xB6BDE000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xF7A2F000 \SystemRoot\System32\Drivers\RsvLock.SYS 0xB59DB000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xB596B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xB67DC000 \SystemRoot\System32\Drivers\Fips.SYS 0xB58AA000 \SystemRoot\system32\DRIVERS\ATSwpDrv.sys 0xB4883000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7A33000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xAEC33000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xADD69000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xAFF9E000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xAE8A3000 \SystemRoot\System32\drivers\Dxapi.sys 0xAE2A7000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7B6D000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF058000 \SystemRoot\System32\ati2cqag.dll 0xBF0D2000 \SystemRoot\System32\atikvmag.dll 0xBF140000 \SystemRoot\System32\atiok3x2.dll 0xBF16B000 \SystemRoot\System32\ati3duag.dll 0xBF465000 \SystemRoot\System32\ativvaxx.dll 0xBF5FB000 \SystemRoot\System32\ATMFD.DLL 0xABA55000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xAFE41000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xAB9B0000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xAB910000 \??\C:\WINDOWS\system32\drivers\cpuz132_x32.sys 0xAB751000 \??\C:\WINDOWS\system32\drivers\mqac.sys 0xAB6E9000 \SystemRoot\system32\DRIVERS\srv.sys 0xAB68F000 \??\C:\WINDOWS\system32\drivers\RMCast.sys 0xAB174000 \SystemRoot\system32\drivers\wdmaud.sys 0xAB347000 \SystemRoot\system32\drivers\sysaudio.sys 0xAAC85000 \SystemRoot\System32\Drivers\HTTP.sys 0xA9200000 \??\C:\DOKUME~1\E8980~1.***\LOKALE~1\Temp\pxldipow.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 64): 0 System Idle Process 4 System 1032 C:\WINDOWS\system32\smss.exe 1080 csrss.exe 1120 C:\WINDOWS\system32\winlogon.exe 1164 C:\WINDOWS\system32\services.exe 1176 C:\WINDOWS\system32\lsass.exe 1368 C:\WINDOWS\system32\svchost.exe 1396 C:\WINDOWS\system32\ati2evxx.exe 1420 C:\WINDOWS\system32\svchost.exe 1488 C:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe 1540 svchost.exe 1584 C:\WINDOWS\system32\svchost.exe 1612 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe 1676 svchost.exe 1852 svchost.exe 284 C:\WINDOWS\system32\spoolsv.exe 332 C:\Programme\Avira\AntiVir Desktop\sched.exe 344 C:\Programme\Avira\AntiVir Desktop\avguard.exe 448 svchost.exe 904 msdtc.exe 1000 C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe 1016 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1068 C:\Programme\Bonjour\mDNSResponder.exe 1312 C:\WINDOWS\system32\svchost.exe 1436 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe 1608 C:\Programme\Java\jre6\bin\jqs.exe 1864 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe 800 C:\WINDOWS\system32\svchost.exe 1088 C:\Programme\vtigercrm-5.1.0\mysql\bin\mysqld-nt.exe 1800 C:\WINDOWS\system32\searchindexer.exe 2372 C:\WINDOWS\system32\mqsvc.exe 2756 C:\WINDOWS\system32\mqtgsvc.exe 2544 C:\WINDOWS\system32\wbem\wmiapsrv.exe 2988 scardsvr.exe 3344 alg.exe 3180 C:\WINDOWS\system32\svchost.exe 3484 C:\Programme\iPod\bin\iPodService.exe 4232 C:\WINDOWS\system32\svchost.exe 4224 C:\WINDOWS\system32\svchost.exe 2768 wmiprvse.exe 3632 C:\WINDOWS\system32\ati2evxx.exe 2892 C:\WINDOWS\explorer.exe 4172 C:\Programme\Hewlett-Packard\IAM\Bin\asghost.exe 4944 C:\Programme\Analog Devices\Core\smax4pnp.exe 4156 C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\pthosttr.exe 1376 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 6112 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1480 C:\WINDOWS\SMINST\Scheduler.exe 5312 C:\Programme\HP\HP Software Update\hpwuSchd2.exe 844 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 3112 C:\Programme\iTunes\iTunesHelper.exe 192 C:\Programme\Software4u\iPhone Explorer\Software4u.IPELauncher.exe 968 C:\WINDOWS\system32\ctfmon.exe 3672 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 376 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe 232 C:\Programme\tclocklight-040702-3\tclock.exe 5080 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe 756 C:\Programme\HP\Digital Imaging\bin\hpqste08.exe 4580 C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe 5684 C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe 2352 C:\WINDOWS\system32\wscntfy.exe 2820 C:\Dokumente und Einstellungen\***\Desktop\osam_autorun_manager_5_0_portable\osam.exe 360 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000022`91480400 (NTFS) PhysicalDrive0 Model Number: ST9160821AS, Rev: 3.BHE Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Hewlett-Packard MBR code detected SHA1: 6DE5B7C1EEAFBE901B2807597A84F9F19604E031 Done! |
|
01.03.2011, 15:18
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Microsoft Security Essentials Alert Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.03.2011, 00:12
| #10 |
| | Microsoft Security Essentials Alert Hallo, nachfolgend die beiden angeforderten logs. Ich habe heute die scans vom admin Konto laufen lassen. Davor hatte ich dem Benutzerkonto für die tägliche Arbeit immer vorher Administratorrechte zugewiesen. Hoffe das war ok so. SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 03/01/2011 at 08:14 PM Application Version : 4.49.1000 Core Rules Database Version : 6505 Trace Rules Database Version: 4317 Scan type : Complete Scan Total Scan Time : 02:08:00 Memory items scanned : 828 Memory threats detected : 0 Registry items scanned : 8981 Registry threats detected : 0 File items scanned : 140935 File threats detected : 4 Trojan.Agent/CDesc[Generic] C:\PROGRAMME\GEMEINSAME DATEIEN\ESM-TOOLS SHARED\LIVEUPDATE.EXE C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\ESM-TOOLS\EDITCONTACTS\LIVEUPDATE.LNK C:\WINDOWS\Prefetch\LIVEUPDATE.EXE-09358652.pf Trojan.Agent/Gen-Kryptic C:\SYSTEM VOLUME INFORMATION\_RESTORE{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP656\A0298025.EXE Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Database version: 5920 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 01.03.2011 23:34:06 mbam-log-2011-03-01 (23-34-06).txt Scan type: Full scan (C:\|E:\|) Objects scanned: 319386 Time elapsed: 2 hour(s), 8 minute(s), 28 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 1 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) Grüsse, Andi |
|
02.03.2011, 11:13
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Microsoft Security Essentials Alert Nur Fehlalarme. Malwarebytes hat nur eine Änderung bzgl. der Anzeige des Abmeldebuttons im Startmenü aufgedeckt, nichts weltbewgendes. Rechner wieder ok?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.03.2011, 12:46
| #12 |
| | Microsoft Security Essentials Alert Hallo, Ja sieht Alles gut aus soweit.  Was soll ich mit den Einträgen machen, die SUPERAntiSpyware in Quarantäne gesteckt hat? Ich hab mir mal eure Anleitungen angesehen für erhöhte Sicherheit unter: http://www.trojaner-board.de/51262-a...sicherung.html Also nix mit Spybot S&D, Zonealarm Firewall, usw. Die XP Firewall reicht? Ich denk ich werd auf Firefox umsteigen. Vielen Dank! Grüsse, Andi Geändert von Andi1111 (02.03.2011 um 13:31 Uhr) |
|
02.03.2011, 13:41
| #13 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Microsoft Security Essentials AlertZitat:
Zitat:
Dann wären wir durch!  Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.03.2011, 11:22
| #14 |
| | Microsoft Security Essentials Alert Hallo, Ich habe deine Anweisungen abgearbeitet. War nicht ganz so einfach. Java lies sich nicht deinstallieren. Musste letzendlich den msicuu2.exe bemühen. Sonst ging alles glatt. Erstaunlicherweise mussten ´ne ganze Menge Microsoft Updates geladen und installiert werden, obwohl ich den Benachrichtigungen über vorliegende Updates "eigentlich" immer gefolgt bin. Würdest du es auf "Automatisch downloaden und installieren" einstellen? Was hältst du von surfen in einer Virtuellen Maschine wie z.B. VM-Lite? Vielen Dank für deine Unterstützung!!! Grüsse, Andi PS: Ich hab mit den genutzten Tools mal auf unseren anderen Rechnern nachgesehen und fürchte da brauch ich auch ein bisschen Unterstützung... |
|
03.03.2011, 11:25
| #15 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Microsoft Security Essentials AlertZitat:
 Man kann auch alles auf manuell stellen, dann wird nur das runtergeladen was man angehakt und auch auch nur dann wenn man sich drum kümmert. Zitat:
Andere Idee wäre ein Linux in einer Dualboot-Umgebung zu installieren. D.h. du kannst beim Anschalten des Rechners auswählen ob sowas wie Ubuntu oder Windows gestartet werden soll. Man kann die Installation auch lassen und bei Bedarf von der CD starten, im Ausprobiermodus ohne Installation kann man auch surfen. Das ist aber weitaus langsamer als eine echte Installation.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Microsoft Security Essentials Alert |
| administrator, alert, anleitung, auszug, bildschirm, data, eindringling, einstellungen, entfernt, files, log files, meldung, microsoft, microsoft security, microsoft security essentials, microsoft security essentials alert, rechner, sachen, schädling, security, shell, software, spybot, variante, version, web, win, windows, winlogon, ändern |
Linear-Darstellung
