| |
| |||||||
Log-Analyse und Auswertung: "wtr loader funktioniert nicht" "TR/Kazy.mekml.1"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.04.2011, 19:00
| #3 |
| |  "wtr loader funktioniert nicht" "TR/Kazy.mekml.1" Hallo und erstmal danke, dass du dich meines Problemes annimmst!
__________________Ja, normalerweise benutze ich den Rechner schon für sowas, natürlich nicht mehr seit dem Trojanerfund... So, combofix ist durchgelaufen. Desktop sieht jetzt soweit schon wieder ganz gut aus. Es fehlen lediglich ein paar Icons, aber die meisten Icons und alle Ordner sind wieder da. Beim Starten fiehl mir jetzt noch folgende Meldung auf: "Einige Autostartprogramme wurden geblockt. Programme, die eine Berechtigung zur Ausführung beim Windowsstart erfordern, werden von Windows geblockt..." Alles wieder gut? anbei die Auswertung: Combofix Logfile: Code:
ATTFilter ComboFix 11-04-28.03 - user 29.04.2011 19:20:12.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2814.1855 [GMT 2:00]
ausgeführt von:: c:\users\user\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\pdfforge Toolbar\IE\4.3\pdFForgetoolbarie.dll
c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
c:\programdata\Microsoft\Network\Downloader\qmgr1.dat
c:\users\***\Favorites\Games.url
c:\users\user\AppData\Roaming\.#
c:\users\user\AppData\Roaming\.#\MBX@140C@1B62990.###
c:\users\user\AppData\Roaming\.#\MBX@140C@1B629C0.###
c:\users\user\AppData\Roaming\.#\MBX@140C@1B629F0.###
.
----- BITS: Eventuell infizierte Webseiten -----
.
hxxp://139.18.143.201
.
((((((((((((((((((((((( Dateien erstellt von 2011-03-28 bis 2011-04-29 ))))))))))))))))))))))))))))))
.
.
2011-04-29 17:27 . 2011-04-29 17:27 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-04-29 17:27 . 2011-04-29 17:27 -------- d-----w- c:\users\***\AppData\Local\temp
2011-04-29 17:02 . 2011-04-11 07:04 7071056 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{50478EDA-F15E-4A09-85E7-D824121DDC58}\mpengine.dll
2011-04-27 19:12 . 2011-04-27 19:12 -------- d-----w- c:\users\user\AppData\Roaming\Malwarebytes
2011-04-27 19:11 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-27 19:11 . 2011-04-27 19:11 -------- d-----w- c:\programdata\Malwarebytes
2011-04-27 19:11 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-04-26 20:20 . 2011-04-26 20:21 -------- d-----w- c:\users\***
2011-04-26 20:18 . 2011-04-26 20:18 0 ---ha-w- c:\users\user\AppData\Local\BITCB3F.tmp
2011-04-26 05:18 . 2011-04-26 05:18 -------- d-----w- c:\program files\Common Files\Macrovision Shared
2011-04-26 05:18 . 2011-04-26 05:18 12464 ----a-w- c:\windows\system32\drivers\CDAC15BA.SYS
2011-04-26 05:18 . 2011-04-26 05:18 54784 ----a-w- c:\windows\system32\drivers\CDAC11BA.EXE
2011-04-26 05:17 . 2011-04-26 05:17 -------- d-----w- c:\program files\AnswerWorks 4.0
2011-04-26 05:17 . 2011-04-26 05:17 -------- d-----w- c:\windows\system32\1031
2011-04-26 05:17 . 2011-04-26 05:17 -------- d-----w- c:\windows\system32\Common Files
2011-04-26 05:16 . 2011-04-26 05:17 -------- d-----w- c:\program files\Common Files\Autodesk Shared
2011-04-25 13:56 . 2011-04-25 13:56 -------- d--h--w- c:\programdata\WindowsSearch
2011-04-24 16:42 . 2011-04-24 16:45 -------- d--h--w- c:\users\user\AppData\Roaming\HpUpdate
2011-04-24 16:42 . 2011-04-24 16:42 -------- d-----w- c:\windows\Hewlett-Packard
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-17 19:19 . 2010-01-28 18:56 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-02-02 16:11 . 2009-10-04 16:03 222080 ------w- c:\windows\system32\MpSigStub.exe
2009-09-13 16:27 . 2009-09-13 16:27 712704 ----a-w- c:\program files\dtdr3260.dll
2009-09-13 16:27 . 2009-09-13 16:27 14336 ----a-w- c:\program files\wmdmhelper.dll
2009-09-13 16:27 . 2009-09-13 16:27 6656 ----a-w- c:\program files\fixrjb.exe
2009-09-13 16:27 . 2009-09-13 16:27 651264 ----a-w- c:\program files\rjbres.dll
2009-09-13 16:27 . 2009-09-13 16:27 36352 ----a-w- c:\program files\ierjplug.dll
2009-09-13 16:27 . 2009-09-13 16:27 352256 ----a-w- c:\program files\rjdlg.dll
2009-09-13 16:27 . 2009-09-13 16:27 19456 ----a-w- c:\program files\tnetdtct.dll
2009-09-13 16:27 . 2009-09-13 16:27 19456 ----a-w- c:\program files\rjprog.dll
2009-09-13 16:27 . 2009-09-13 16:27 139264 ----a-w- c:\program files\DUNZIP32.dll
2009-09-13 16:27 . 2009-09-13 16:27 81920 ----a-w- c:\program files\tsasdk.dll
2009-09-13 16:27 . 2009-09-13 16:27 57344 ----a-w- c:\program files\tpasdk.dll
2009-09-13 16:27 . 2009-09-13 16:27 41472 ----a-w- c:\program files\mmcdda32.dll
2009-09-13 16:27 . 2009-09-13 16:27 719360 ----a-w- c:\program files\dbghelp.dll
2009-09-13 16:27 . 2009-09-13 16:27 43056 ----a-w- c:\program files\rpshellsearch.dll
2009-09-13 16:27 . 2009-09-13 16:27 329312 ----a-w- c:\program files\rpbrowserrecordplugin.dll
2009-09-13 16:27 . 2009-09-13 16:27 32768 ----a-w- c:\program files\rpwa3260.dll
2009-09-13 16:27 . 2009-09-13 16:27 198208 ----a-w- c:\program files\RecordingManager.exe
2009-09-13 16:27 . 2009-09-13 16:27 16296 ----a-w- c:\program files\realtfon.fon
2009-09-13 16:27 . 2009-09-13 16:27 65536 ----a-w- c:\program files\rjwmapln.dll
2009-09-13 16:27 . 2009-09-13 16:27 53248 ----a-w- c:\program files\rpau3260.dll
2009-09-13 16:27 . 2009-09-13 16:27 86016 ----a-w- c:\program files\rpplugprot.dll
2009-09-13 16:27 . 2009-09-13 16:27 63016 ----a-w- c:\program files\rpshell.dll
2009-09-13 16:27 . 2009-09-13 16:27 112168 ----a-w- c:\program files\rdsf3260.dll
2009-09-13 16:27 . 2009-09-13 16:27 102400 ----a-w- c:\program files\HXAudioDeviceHook.dll
2009-09-13 16:27 . 2009-09-13 16:27 9216 ----a-w- c:\program files\rphelperapp.exe
2009-09-13 16:27 . 2009-09-13 16:27 7168 ----a-w- c:\program files\realjbox.exe
2009-09-13 16:27 . 2009-09-13 16:27 222728 ----a-w- c:\program files\realplay.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2010-03-18 187192]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2010-03-18 14:06 1361208 ----a-r- c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-03-18 1361208]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-03-18 1361208]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-01-03 00:00 39472 ---ha-w- c:\acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2007-12-05 4710400]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-03-05 525360]
"eAudio"="c:\acer\Empowering Technology\eAudio\eAudio.exe" [2007-10-10 1286144]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-12-05 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8534560]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-10-17 768520]
"PlayMovie"="c:\program files\Acer Arcade Deluxe\Play Movie\PMVService.exe" [2008-01-22 200704]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-07-21 159744]
"WarReg_PopUp"="c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe" [2008-01-29 303104]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-09-13 198160]
"GMX Update"="c:\program files\GMX\LiveUpdate\m2LUTray.exe" [2009-10-16 2229632]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2010-03-17 106496]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"SearchSettings"="c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe" [2011-01-28 526336]
"Malwarebytes' Anti-Malware (reboot)"="d:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2008-4-3 535336]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-12-28 135664]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2009-12-28 135664]
R3 Slnt7554;USB Soft Modem Driver;c:\windows\system32\DRIVERS\slnt7554.sys [2004-11-29 224888]
R3 WSVD;WSVD;c:\windows\system32\drivers\WSVD.sys [2006-09-19 80744]
S2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl [2008-01-04 41456]
S2 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [2007-09-19 51200]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-04 135336]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2011-01-28 387072]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-06-02 246520]
S2 serviceIEConfig;IEConfig 1und1/WEB.DE/GMX Edition;c:\windows\System32\ieconfig_1und1_svc.exe [2009-11-04 662416]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-05-16 32256]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-28 12:49]
.
2011-04-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-28 12:49]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://go.1und1.de/links/home
mStart Page = hxxp://de.intl.acer.yahoo.com
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s
IE: Nach Microsoft &Excel exportieren - d:\progra~1\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\t056xyhy.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-ICQ - ~c:\program files\ICQ7.2\ICQ.exe
HKLM-Run-ALaunch - c:\acer\ALaunch\AlaunchClient.exe
HKLM-Run-Acer Tour Reminder - c:\acer\AcerTour\Reminder.exe
HKLM-Run-eRecoveryService - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-29 19:27
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\serviceIEConfig]
"ImagePath"="c:\windows\System32\ieconfig_1und1_svc.exe /startedbyscm:016FE01B-40E31F2D-serviceIEConfig"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2011-04-29 19:31:21
ComboFix-quarantined-files.txt 2011-04-29 17:31
.
Vor Suchlauf: 6 Verzeichnis(se), 105.553.350.656 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 106.527.039.488 Bytes frei
.
- - End Of File - - E8031D523A1B01F1DDD7A40D66FFD545
|
| Themen zu "wtr loader funktioniert nicht" "TR/Kazy.mekml.1" |
| 32 bit, 7-zip, adobe, alternate, autorun, avgntflt.sys, avira, browser, computern, converter, defender, desktop, diner dash, error, excel, excel.exe, firefox, format, google earth, helper, home, iexplore.exe, install.exe, launch, location, malewarbytes, mozilla, mp3, msvcrt, nvlddmkm.sys, officejet, oldtimer, pdfforge toolbar, popup, problem, realtek, recycle.bin, registry, saver, sched.exe, searchplugins, shell32.dll, software, spigot, start menu, sweetim, taskleiste, tr/kazy.mekml.1, trojaner, udp, vista, wtr loader |
Baum-Darstellung