|
TR/ATRAPS.Gen, TR/ATRAPS.Gen2, BDS/ZAccess.V u. a. Hallo liebe Helfer, lt. Berichten von Avira Free Antivirus wurden vom 26.7.12 bis 8.8.12 folgende Viren gefunden und in Quarantäne verschoben: 26.07.12 Trojanische Pferd TR/Inject.ejeo 31.07.12, mehrmals bis 4.8.12 Trojanische Pferd TR/ATRAPS.Gen2 31.07.12, mehrmals bis 4.8.12 Trojanische Pferd TR/ATRAPS.Gen 02.08.12/04.08.12 Trojanische Pferd TR/Sirefef.P.389 04.08.12 Trojanische Pferd TR/Sirefef.A.36 04.08.12 Trojanische Pferd TR/Kazy.83884.1 08.08.12 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\4e8e0adb-67729155 [0] Archivtyp: ZIP --> CL1.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DN --> CL2.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.CT --> CL3.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.CU C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{1de5e2f0-cf9c-9ec4-1f4e-d1fe3ee2f527}\U\00000001.@ [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/ZAccess.V C:\System Volume Information\_restore{012EA04C-8177-4CF3-812F-8B752B41DF2F}\RP778\RestorePointSize [WARNUNG] Unerwartetes Dateiende erreicht C:\System Volume Information\_restore{012EA04C-8177-4CF3-812F-8B752B41DF2F}\RP836\A0125622.exe [WARNUNG] Unerwartetes Dateiende erreicht Jetzt findet Avira keinen Virus mehr. Der PC läuft auch normal. Muss ich den PC aufsetzen oder sind die Viren dauerhaft beseitigt? Für eine Unterstützung wäre ich Euch sehr dankbar! :dankeschoen: Informationen zu meinem System: Schritt 1: Defogger hat keine Fehlermeldung gebracht. Schritt 2: OTL Quick Scan Während des Scans trat die Meldung auf „Windows – Kein Datenträger, Exeption Processing Message c0000013 Parameters 75b0bf7c 4 75b0bf7c 75b0bf7c“, die geschlossen wurde, um den Scan fortzusetzenOTL Logfile: Code: OTL logfile created on: 12.08.2012 12:06:13 - Run 2OTL Extras logfile created on: 12.08.2012 11:05:57 - Run 1 OTL by OldTimer - Version 3.2.57.0 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,44 Gb Available Physical Memory | 81,35% Memory free 4,84 Gb Paging File | 4,32 Gb Available in Paging File | 89,22% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 97,65 Gb Total Space | 58,87 Gb Free Space | 60,28% Space Free | Partition Type: NTFS Drive D: | 135,22 Gb Total Space | 131,54 Gb Free Space | 97,28% Space Free | Partition Type: NTFS Drive K: | 930,51 Gb Total Space | 500,08 Gb Free Space | 53,74% Space Free | Partition Type: NTFS Computer Name: ESPRIMO | User Name: Administrator | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== ========== Authorized Applications List ========== ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium "{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}" = WISO Sparbuch 2009 "{0217E1D1-BCEF-4A61-AF6D-F7740F65A066}" = Pivot Pro Plugin "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{0D25F7CC-B99C-44ee-9945-B14532B2BB7B}" = Canon MP830 "{0DEA342C-15CB-4F52-97B6-06A9C4B9C06F}" = SDK "{1CF704EF-627B-4957-8B50-5AE4B07EF7B9}_is1" = Omega 1.0 "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{257F2279-6843-433E-9060-15BAB966F20D}" = Steuer-Spar-Erklärung Plus 2011 "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java(TM) 6 Update 33 "{2B53190C-E53E-4736-9E13-395741415991}" = Network Recording Player "{34EB6245-C8D0-4D8A-B8D8-EEBFF7A91485}" = Firebird SQL Server - MAGIX Edition "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup "{3BCDCC6A-3A47-4883-8A0C-55AC061316CB}" = Steuer-Spar-Erklärung Plus 2012 "{447E3935-A085-42D4-0001-8BE5E4034B40}" = freeTunes*3.0 "{45B83789-0B47-4EC3-84D6-FDA70EA8725C}" = MAGIX Speed burnR (MSI) "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml "{593AFFA4-D08E-4272-BABB-420949D32A10}" = QUICKfind "{599CD7E7-BE50-4C37-BECB-1439E111F85E}" = MAGIX Screenshare "{5C6F884D-680C-448B-B4C9-22296EE1B206}" = Logitech Harmony Remote Software 7 "{5C81B189-5456-40C4-9313-7FE6FA6DD64C}" = Duden-Bibliothek "{68da4c12-3662-4e8d-b9fc-4754d64e13d7}" = Gigaset QuickSync "{6C626E7E-9FD0-4414-8B6A-CE55D4A01031}" = Nero 8 Essentials "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{735DEB9C-61BD-4D31-994B-92395BBB4E45}" = Microsoft XML Parser "{78D7D7CD-A06B-4514-ACBD-8055BF945A8E}" = InfoBibliothek 2 "{82436073-5B66-4DD4-A815-437244503120}" = Steuer-Spar-Erklärung Plus 2010 "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{8471021C-F529-43DE-84DF-3612E10F58C4}" = Remote Control USB Driver "{8B961557-75BB-4336-8167-90267ED34267}" = Media Add-Ons für Acronis True Image 2009 "{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}" = Logitech Desktop Messenger "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System "{959282E3-55A9-49D8-B885-D27CF8A2FD82}" = PHOTOfunSTUDIO 5.1 HD Edition "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 "{A1973A71-BC23-4A8C-A0A0-2B0497B7EAF4}" = WISO Sparbuch 2008 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A586DC50-B18D-48FB-B7CC-A598200457C2}" = Acer eDisplay Management "{AC76BA86-0000-0000-0000-6028747ADE01}" = Adobe Acrobat - Reader 6.0.2 Update "{AC76BA86-0000-7EC8-7489-000000000603}" = Adobe Acrobat and Reader 6.0.3 Update "{AC76BA86-0000-7EC8-7489-000000000604}" = Adobe Acrobat and Reader 6.0.4 Update "{AC76BA86-0000-7EC8-7489-000000000605}" = Adobe Acrobat and Reader 6.0.5 Update "{AC76BA86-0000-7EC8-7489-000000000606}" = Adobe Acrobat and Reader 6.0.6 Update "{AC76BA86-1033-F400-7760-000000000001}" = Adobe Acrobat 6.0.1 Professional - English, Français, Deutsch "{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.1 - Deutsch "{AFA42FE1-A5C3-485F-9180-BFCF5BF1F1C3}" = AAVUpdateManager "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C1E693A4-B1D5-4DCD-B68D-2087835B7184}" = ScanSoft OmniPage SE 4.0 "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CB49BBA8-1CA5-4C93-88FA-CA70182CBFC8}" = SystemDiagnostics "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D1E0E859-F46D-4708-A41D-ED90C0C1822A}" = Acronis*True*Image*Home "{D2D6B9EB-C6DC-4DAA-B4DE-BB7D9735E7DA}" = Presto! PageManager 7.15.14 "{E06C8E13-7A8C-434C-8548-34BC4762212D}" = Logitech Harmony Remote Software 7 "{E59113EB-0285-4BFD-A37A-B79EAC6B8F4B}" = Microsoft SQL Server Compact 3.5 SP1 English "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{EA2D9BC0-75E9-4975-9A0A-DD82198DDC53}" = MSXML 6.0 Parser "{EE3A0915-E8E5-4F1C-A048-592B7BD374D7}" = MAGIX Video deluxe 17 "{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9 "AudibleManager" = AudibleManager "Avira AntiVir Desktop" = Avira Free Antivirus "CNXT_MODEM_PCI_VEN_14F1&DEV_2F20&SUBSYS_200014F1" = SoftV92 Data Fax Modem with SmartCP "DeskUpdate_is1" = DeskUpdate 4.12 "Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint "Free Video to MP3 Converter_is1" = Free Video to MP3 Converter version 5.0.13.608 "Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.11.923 "GridVista" = Acer GridVista "Hardcopy(C__Programme_Hardcopy)" = Hardcopy (C:\Programme\Hardcopy) "HECI" = Intel® Management-Engine-Interface "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "ie8" = Windows Internet Explorer 8 "MAGIX 3D Maker D" = MAGIX 3D Maker (embeded) "MAGIX Foto Manager" = MAGIX Foto Manager "MAGIX Music Manager" = MAGIX Music Manager "MAGIX Online Druck Service" = MAGIX Online Druck Service "MAGIX Screenshare D" = MAGIX Screenshare 4.3.6.1987 (D) "MAGIX Video deLuxe 2005 2006" = MAGIX Video deLuxe 2005 2006 "MAGIX Xtreme Foto Designer 6 D" = MAGIX Xtreme Foto Designer 6 6.0.25.0 (D) "MAGIX_MSI_Videodeluxe17" = MAGIX Video deluxe 17 "MediaNavigation.CDLabelPrint" = CD-LabelPrint "MESOL" = Intel® Active-Management-Technologie "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "MP Navigator 2.2" = Canon MP Navigator 2.2 "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "NSIS_cld3" = Cambridge Learner's Dictionary - 3rd Edition "NVIDIA Drivers" = NVIDIA Drivers "Password Safe" = Password Safe "Stellar Phoenix Photo Recovery_is1" = Stellar Phoenix Photo Recovery "SystemRequirementsLab" = System Requirements Lab "TMM70" = TELL ME MORE "TMM80" = TELL ME MORE "Uniformula" = Uniformula "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WinZip" = WinZip "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "IB Gateway" = IB Gateway "Trader Workstation" = Trader Workstation "TWS Beta (Build 9191)" = TWS Beta (Build 9191) ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 11.08.2012 03:51:21 | Computer Name = ESPRIMO | Source = Intel(R) AMT | ID = 2002 Description = [UNS] Failed to subscribe to local Intel(R) AMT. Error - 11.08.2012 03:51:51 | Computer Name = ESPRIMO | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. Error - 11.08.2012 06:08:04 | Computer Name = ESPRIMO | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 11.08.2012 06:09:10 | Computer Name = ESPRIMO | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 11.08.2012 10:58:08 | Computer Name = ESPRIMO | Source = Intel(R) AMT | ID = 2002 Description = [UNS] Failed to subscribe to local Intel(R) AMT. Error - 11.08.2012 10:58:40 | Computer Name = ESPRIMO | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. Error - 12.08.2012 00:45:56 | Computer Name = ESPRIMO | Source = Intel(R) AMT | ID = 2002 Description = [UNS] Failed to subscribe to local Intel(R) AMT. Error - 12.08.2012 00:46:24 | Computer Name = ESPRIMO | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. Error - 12.08.2012 02:42:51 | Computer Name = ESPRIMO | Source = Intel(R) AMT | ID = 2002 Description = [UNS] Failed to subscribe to local Intel(R) AMT. Error - 12.08.2012 02:43:21 | Computer Name = ESPRIMO | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. [ Application Events ] Error - 11.08.2012 03:51:21 | Computer Name = ESPRIMO | Source = Intel(R) AMT | ID = 2002 Description = [UNS] Failed to subscribe to local Intel(R) AMT. Error - 11.08.2012 03:51:51 | Computer Name = ESPRIMO | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. Error - 11.08.2012 06:08:04 | Computer Name = ESPRIMO | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 11.08.2012 06:09:10 | Computer Name = ESPRIMO | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 11.08.2012 10:58:08 | Computer Name = ESPRIMO | Source = Intel(R) AMT | ID = 2002 Description = [UNS] Failed to subscribe to local Intel(R) AMT. Error - 11.08.2012 10:58:40 | Computer Name = ESPRIMO | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. Error - 12.08.2012 00:45:56 | Computer Name = ESPRIMO | Source = Intel(R) AMT | ID = 2002 Description = [UNS] Failed to subscribe to local Intel(R) AMT. Error - 12.08.2012 00:46:24 | Computer Name = ESPRIMO | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. Error - 12.08.2012 02:42:51 | Computer Name = ESPRIMO | Source = Intel(R) AMT | ID = 2002 Description = [UNS] Failed to subscribe to local Intel(R) AMT. Error - 12.08.2012 02:43:21 | Computer Name = ESPRIMO | Source = WinMgmt | ID = 28 Description = WinMgmt konnte die Kernteile nicht initialisieren. Mögliche Ursache hierfür könnte eine beschädigte WinMgmt-Version, ein WinMgmt-Repositoryaktualisierungsfehler oder nicht genügend Speicherplatz oder Arbeitsspeicher sein. [ System Events ] Error - 11.08.2012 01:53:15 | Computer Name = ESPRIMO | Source = Wechselmediendienst | ID = 262159 Description = Der Wechselmediendienst kann die Bibliothek CdRom0 nicht verwalten. Die Datenbank ist beschädigt. Error - 11.08.2012 03:52:42 | Computer Name = ESPRIMO | Source = Wechselmediendienst | ID = 262159 Description = Der Wechselmediendienst kann die Bibliothek CdRom0 nicht verwalten. Die Datenbank ist beschädigt. Error - 11.08.2012 06:55:25 | Computer Name = ESPRIMO | Source = Wechselmediendienst | ID = 262255 Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der Bibliothek Generic USB SD Reader USB Device nicht laden. Error - 11.08.2012 10:59:28 | Computer Name = ESPRIMO | Source = Wechselmediendienst | ID = 262159 Description = Der Wechselmediendienst kann die Bibliothek CdRom0 nicht verwalten. Die Datenbank ist beschädigt. Error - 11.08.2012 13:45:22 | Computer Name = ESPRIMO | Source = Wechselmediendienst | ID = 262159 Description = Der Wechselmediendienst kann die Bibliothek CdRom0 nicht verwalten. Die Datenbank ist beschädigt. Error - 11.08.2012 16:11:39 | Computer Name = ESPRIMO | Source = Wechselmediendienst | ID = 262255 Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der Bibliothek Generic USB SD Reader USB Device nicht laden. Error - 12.08.2012 00:46:13 | Computer Name = ESPRIMO | Source = Wechselmediendienst | ID = 262255 Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der Bibliothek Generic USB SD Reader USB Device nicht laden. Error - 12.08.2012 00:46:15 | Computer Name = ESPRIMO | Source = Wechselmediendienst | ID = 262255 Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der Bibliothek Generic USB SD Reader USB Device nicht laden. Error - 12.08.2012 00:47:14 | Computer Name = ESPRIMO | Source = Wechselmediendienst | ID = 262159 Description = Der Wechselmediendienst kann die Bibliothek CdRom0 nicht verwalten. Die Datenbank ist beschädigt. Error - 12.08.2012 02:44:12 | Computer Name = ESPRIMO | Source = Wechselmediendienst | ID = 262159 Description = Der Wechselmediendienst kann die Bibliothek CdRom0 nicht verwalten. Die Datenbank ist beschädigt. < End of report > Schritt 3:Gmer msinfo32: Systeminformationen: „Informationen können nicht zusammengestellt werden“ – Ich weiß, dass es sich um ein 32 Bit-System handelt. Daher erfolgt Scan mit Gmer GMER Logfile: Code: GMER 1.0.15.15641 - hxxp://www.gmer.netSo, ich hoffe das keine Informationen mehr fehlen und bedanke mich schon bei einem Helfer für eine baldige Antwort! :dankeschoen: Nachtrag: Ich habe gerade bemerkt, dass die Windows-Firewall nicht aktiv ist! Beim Aufruf des Sicherheitscenters erscheint folgende Meldung: "Aufgrund eines unbekannten Problems können die Einstellungen des Windows-Firewalls nicht angezeigt werden." :confused: |
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Hallo cosinus, vielen Dank, dass Du Dich meines Problems angenommen hast! :applaus: Hier die beiden Log-Dateien: 1. Vollscan mit Malwarebytes - Log: Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300Code: ESETSmartInstaller@High as CAB hook log: |
Code: C:\Programme\MAGIX\Video_deluxe_17\Video_deluxe_17_de-DE_setup.exe |
Hallo cosinus, haben wir gekauft am 29.01.2011: Verkauf durch: Amazon EU S.a.r.L. 1 "MAGIX Video deluxe 17 - Minibox" DVD-ROM; EUR 62,40 |
Dann ist das ein Fehlalarm adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Hallo cosinus, Logdatei von AdwCleaner: # AdwCleaner v1.801 - Logfile created 08/25/2012 at 09:06:12 # Updated 14/08/2012 by Xplode # Operating system : Microsoft Windows XP Service Pack 3 (32 bits) # User : Administrator - ESPRIMO # Boot Mode : Normal # Running from : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe # Option [Search] ***** [Services] ***** ***** [Files / Folders] ***** ***** [Registry] ***** ***** [Registre - GUID] ***** ***** [Internet Browsers] ***** -\\ Internet Explorer v8.0.6001.18702 [OK] Registry is clean. ************************* AdwCleaner[R1].txt - [585 octets] - [25/08/2012 09:06:12] ########## EOF - C:\AdwCleaner[R1].txt - [712 octets] ########## |
Bitte alle Logs in CODE-Tags posten!!! Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? |
Hallo cosinus, ich hoffe, Du hattest einen schönen Urlaub! Zu den Fragen: 1. Der normale Modus von Windows ging immer. 2. Ich kann keine fehlenden Programme im Startmenü feststellen. Allerdings erscheint beim Aufruf des Sicherheitscenters in der Systemsteuerung die Meldung: "Aufgrund eines unbekannten Problems können die Einstellungen des Windows-Firewalls nicht angezeigt werden." |
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogLade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code: netsvcs
|
Hallo cosinus, vielen Dank für die schnelle Antwort! Und hier das Log von OTL: OTL Logfile: Code: OTL logfile created on: 30.08.2012 21:29:25 - Run 3 |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Hallo cosinus, der PC bleibt nach Drücken des "Fix"-Buttons auch nach Stunden in dieser Maske stehen "OTL by OldTimer - Version 3.2.59.1 (Keine Rückmeldung)". Unten steht "Killing processes. DO NOT INTERRUPT..." Da der PC nicht mehr reagierte, musste ich ihn neu starten. Anscheinend hat ihm das aber nicht geschadet. |
Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus. |
Hallo cosinus, habe XP im abgesicherten Modus gestartet und OTL mit Deinem Text gestartet. Nach Drücken des FIX-Buttons blieb das Programm zunächst hängen mit der Meldung "Windows - Kein Datenträger - Exception Processing Message...". Nach mehrmaligem Drücken von Weiter lief OTL aber durch und brachte das folgende Logfile. Code: All processes killed |
Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png |
Hallo cosinus, hier das Log von Kaspersky (TDSS-Killer): Code: 19:00:48.0546 0428 TDSS rootkit removing tool 2.8.8.0 Aug 24 2012 13:27:48 |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Hallo Cosinus, danke für Deine Antwort. Fahre jetzt in Kurzurlaub. Melde mich, sobald ich wieder zu Hause bin. Viele Grüße SFischer |
Hallo cosinus, hier die Combofix.txt: Combofix Logfile: Code: ComboFix 12-09-11.02 - Administrator 12.09.2012 9:55.1.4 - x86 |
Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. |
Hallo cosinus, vielen Dank für die schnelle Antwort! Zuerst das Log von GMER: [code] GMER Logfile: Code: GMER 1.0.15.15641 - hxxp://www.gmer.netHallo cosinus, hier noch die Logs von OSAM und aswMBR: Code: OSAM Logfile:Code: aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software |
Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht. Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar. Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR. Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm! Anschließend Windows neu starten und ein neues Log mit aswMBR machen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board
