Trojaner-Board - Diverse Probleme beim PC meiner Mutter - Bitte um Hilfe bei Logfile- Auswertung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Diverse Probleme beim PC meiner Mutter - Bitte um Hilfe bei Logfile- Auswertung (https://www.trojaner-board.de/58929-diverse-probleme-beim-pc-meiner-mutter-bitte-um-hilfe-logfile-auswertung.html)

Diverse Probleme beim PC meiner Mutter - Bitte um Hilfe bei Logfile- Auswertung

Hallo allesamt :)

Nach langer Zeit muss ich mich leider doch mal wieder bei euch melden, weil ich ein klein wenig Hilfe mit dem Laptop meiner Mutter bräuchte.

Der läuft nämlich extrem langsam mit öfteren Abstürzen, teilweise ohne eine hohe CPU Auslastung anzuzeigen, v.a. was Webupdates von z.B. Avira AntiVir betrifft. Außerdem wurde mir berichtet, dass manchmal der Firefox nicht geht und anscheinend selbständig Schadprogramme nachgeladen werden (Schlussfolgerung aus diversen Scanns von Antivir und Ad-Avare).

Ich selbst konnte die genannten Probleme (bis auf die Langsamkeit) selbst nicht reproduzieren und es tut mir Leid, dass ich keine genaueren Angaben machen kann, aber der Computer gehört eigentlich nicht mir sondern wurde mir erst gerade eben von meinen Eltern ohne weitere und exaktere Angaben zur Problematik zur "Reparatur" übergeben.

Kurze Rede langer Sinn: Ich habe ein HJT Logfile angefertigt, bin aber mit der Auswertung überfordert und wollte euch fragen, ob ihr mir eventuell helfen könnt. Hier das File:

Code:

Logfile of Trend Micro HijackThis v2.0.2
 

Scan saved at 18:09:29, on 01.09.2008
 

Platform: Windows XP SP2 (WinNT 5.01.2600)
 

MSIE: Internet Explorer v7.00 (7.00.6000.16705)
 

Boot mode: Normal
 
 
 

Running processes:
 

C:\WINDOWS\System32\smss.exe
 

C:\WINDOWS\system32\winlogon.exe
 

C:\WINDOWS\system32\services.exe
 

C:\WINDOWS\system32\lsass.exe
 

C:\WINDOWS\system32\svchost.exe
 

C:\WINDOWS\System32\svchost.exe
 

C:\Programme\Ahead\InCD\InCDsrv.exe
 

C:\WINDOWS\Explorer.EXE
 

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
 

C:\WINDOWS\system32\LEXBCES.EXE
 

C:\WINDOWS\system32\LEXPPS.EXE
 

C:\WINDOWS\system32\spoolsv.exe
 

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
 

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
 

C:\Programme\Ahead\InCD\InCD.exe
 

C:\Programme\Logitech\MouseWare\system\em_exec.exe
 

C:\Programme\iTunes\iTunesHelper.exe
 

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
 

C:\WINDOWS\system32\ctfmon.exe
 

C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
 

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
 

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
 

C:\Programme\FirefoxPreloader\FirefoxPreloader.exe
 

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
 

C:\Programme\Mozilla Firefox\firefox.exe
 

C:\WINDOWS\System32\cisvc.exe
 

C:\WINDOWS\system32\slserv.exe
 

C:\WINDOWS\System32\svchost.exe
 

C:\WINDOWS\wanmpsvc.exe
 

C:\Programme\Canon\CAL\CALMAIN.exe
 

C:\WINDOWS\system32\wuauclt.exe
 

C:\Programme\iPod\bin\iPodService.exe
 

C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\update\update.exe
 

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 
 
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h++p://www.aol.de/e60/suche/
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://www.arcor.de
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.arcor.de
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://www.arcor.de
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://www.arcor.de
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://www.arcor.de
 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.arcor.de
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:search
 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:search
 

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = h++p://www.arcor.de
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
 

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
 

O2 - BHO: (no name) - {60BF5EE3-0105-4858-AD98-17C19F86B042} - (no file)
 

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
 

O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
 

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
 

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
 

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
 

O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
 

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
 

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
 

O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
 

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
 

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
 

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
 

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
 

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
 

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
 

O4 - Startup: OpenOffice.org 2.3.lnk.disabled
 

O4 - Startup: PowerReg Scheduler.exe
 

O4 - Global Startup: Firefox Preloader.lnk = C:\Programme\FirefoxPreloader\FirefoxPreloader.exe
 

O4 - Global Startup: Google Updater.lnk.disabled
 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
 

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
 

O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\WINDOWS\System32\shdocvw.dll
 

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
 

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
 

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
 

O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - 
 

O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - h++ps://webzugang.brnet.de/dana-cached/setup/JuniperSetupSP1.cab
 

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
 

O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
 

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
 

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
 

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
 

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
 

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
 

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
 

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
 

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
 

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
 

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
 

O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
 

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
 
 
 

--
 

End of file - 8062 bytes

Vielen Dank schon mal im voraus. :)

Hallöle Don.

Du müsstest aber wissen, dass das SP3 Pflicht für jede Hilfeleistung ist.. ;)

Deinstalliere bitte AdAware.

Überprüfe den Rechner dann mit SuperAntiSpyware und Anti-Malware und poste die logs.

Zitat:

Zitat von undoreal (Beitrag 367875)

Hallöle Don.

Du müsstest aber wissen, dass das SP3 Pflicht für jede Hilfeleistung ist.. ;)

Oh. Meinereiner ist BNU/Linux-User, deswegen ist mir die Existenz dieses Service Packs wohl mehr oder weniger entgangen.

Soll ich's gleich installieren oder erst, nachdem wir das Problem aufgespürt haben?

Wie dem auch sei, ich verfahr mal weiter nach deiner Anleitung...

(Danke übrigens für die schnelle Hilfe. :daumenhoc)

Das SP3 solltest du so schnell wie möglich aufspielen.

SP3 ist jetzt drauf.

SUPERAntiSpyware stürzt immer nach ca. 8 1/2 Minuten (nie genau und nicht immer am selben Punkt) ab, deshalb da kein Log.

Malwarebytes ist durchgelaufen. Hier das Logfile:

Code:



03:08:01 02.09.2008
 

mbam-log-09-02-2008 (03-08-01).txt
 
 
 

Scan-Methode: Vollständiger Scan (C:\|)
 

Durchsuchte Objekte: 105647
 

Laufzeit: 1 hour(s), 9 minute(s), 13 second(s)
 
 
 

Infizierte Speicherprozesse: 0
 

Infizierte Speichermodule: 0
 

Infizierte Registrierungsschlüssel: 1
 

Infizierte Registrierungswerte: 1
 

Infizierte Dateiobjekte der Registrierung: 1
 

Infizierte Verzeichnisse: 3
 

Infizierte Dateien: 7
 
 
 

Infizierte Speicherprozesse:
 

(Keine bösartigen Objekte gefunden)
 
 
 

Infizierte Speichermodule:
 

(Keine bösartigen Objekte gefunden)
 
 
 

Infizierte Registrierungsschlüssel:
 

HKEY_CURRENT_USER\SOFTWARE\RegistrySmart (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
 
 
 

Infizierte Registrierungswerte:
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\c:\programme\registrysmart\ (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
 
 
 

Infizierte Dateiobjekte der Registrierung:
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdrxg.exe -> Quarantined and deleted successfully.
 
 
 

Infizierte Verzeichnisse:
 

C:\Programme\RegistrySmart (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
 

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\RegistrySmart (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
 

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\RegistrySmart\Log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
 
 
 

Infizierte Dateien:
 

C:\Programme\Mozilla Firefox\components\MyComponent.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
 

C:\Programme\Mozilla Firefox\components\MyComponent.dll1 (Spyware.Passwords) -> Quarantined and deleted successfully.
 

C:\Programme\Mozilla Thunderbird\.autoreg (Spyware.Passwords) -> Quarantined and deleted successfully.
 

C:\Programme\Mozilla Thunderbird\components\MyComponent.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
 

C:\WINDOWS\system32\1072.dat (Spyware.Passwords) -> Quarantined and deleted successfully.
 

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\RegistrySmart\Log\2008 Feb 13 - 11_08_12 AM_885.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
 

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\RegistrySmart\Log\2008 Feb 13 - 11_08_22 AM_428.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.

Lasse SASW im abgesicherten Modus durchlaufen...

Und ändere von einem sauberen PC aus alle Passwörter und Zugangsaccounts.

Hab SASW im Abgesicherten Modus durchlaufen lassen, das Problem bleibt aber das selbe: SASW stürzt nach einiger Zeit ab. Der Absturz passiert immer dann, wenn er irgendwelche Domainverzeichnisse unter "HKU" durchsucht. :(

Das ist kein gutes Zeichen. Dann verhindert da etwas gefunden zu werden.

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

GMER - Rootkit Detection

Lade Gmer von hier
entpacke es auf den Dektop
Dopperlklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Hier die Logs von Blacklight und Gmer, ComboFix im nächsten Post.

Blacklight:

Code:

09/02/08 16:02:19 [Info]: BlackLight Engine 1.0.70 initialized
 

09/02/08 16:02:19 [Info]: OS: 5.1 build 2600 (Service Pack 3)
 

09/02/08 16:02:19 [Note]: 7019 4
 

09/02/08 16:02:19 [Note]: 7005 0
 

09/02/08 16:02:25 [Note]: 7006 0
 

09/02/08 16:02:25 [Note]: 7011 1256
 

09/02/08 16:02:25 [Note]: 7035 0
 

09/02/08 16:02:25 [Note]: 7026 0
 

09/02/08 16:02:25 [Note]: 7026 0
 

09/02/08 16:02:32 [Note]: FSRAW library version 1.7.1024
 

09/02/08 16:13:22 [Note]: 2000 1012
 

09/02/08 16:13:22 [Note]: 2000 1012
 

09/02/08 16:13:22 [Note]: 2000 1012
 

09/02/08 16:13:22 [Note]: 2000 1012
 

09/02/08 16:14:08 [Note]: 7007 0

Gmer:

Code:

GMER 1.0.14.14536 - http://www.gmer.net
 

Rootkit scan 2008-09-02 16:28:46
 

Windows 5.1.2600 Service Pack 3
 
 
 
 
 

---- System - GMER 1.0.14 ----
 
 
 

SSDT            FA60151C                                                                                                                                 ZwCreateThread
 

SSDT            FA601508                                                                                                                                 ZwOpenProcess
 

SSDT            FA60150D                                                                                                                                 ZwOpenThread
 

SSDT            \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)                                ZwTerminateProcess [0xF64ECF20]
 

SSDT            FA601512                                                                                                                                 ZwWriteVirtualMemory
 
 
 

---- User IAT/EAT - GMER 1.0.14 ----
 
 
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW]               [6BFA9BE7] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW]                 [6BFA9AD3] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA]                 [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA]                   [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW]                   [6BFA9AD3] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter]    [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]   [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA]                  [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW]                  [6BFA9AD3] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]     [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW]                  [6BFA9BE7] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA]                    [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW]                    [6BFA9AD3] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]                 [6BFA9BE7] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]                   [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]    [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]                   [6BFA9AD3] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter]   [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA]                [6BFA9B5A] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW]                [6BFA9BE7] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW]                  [6BFA9AD3] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA]                  [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA]                   [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]    [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter]   [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA]                  [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]   [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]                  [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]                  [6BFA9AD3] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]                [6BFA9BE7] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA]                [6BFA9B5A] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA]                    [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryW]                    [6BFA9AD3] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]                  [6BFA9BE7] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA]                  [6BFA9B5A] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]     [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\psapi.dll [KERNEL32.dll!LoadLibraryA]                    [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\psapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter]     [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryW]                 [6BFA9AD3] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA]                 [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\userenv.dll [KERNEL32.dll!LoadLibraryW]                  [6BFA9AD3] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\userenv.dll [KERNEL32.dll!LoadLibraryExA]                [6BFA9B5A] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\userenv.dll [KERNEL32.dll!LoadLibraryA]                  [6BFA9A4C] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 

IAT             C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[1808] @ C:\WINDOWS\system32\userenv.dll [KERNEL32.dll!SetUnhandledExceptionFilter]   [6BFA9C74] C:\Programme\Gemeinsame Dateien\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)
 
 
 

---- Devices - GMER 1.0.14 ----
 
 
 

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                                 NEOFLTR_550_12029.SYS (NetBIOS Redirector/Juniper Networks)
 

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                NEOFLTR_550_12029.SYS (NetBIOS Redirector/Juniper Networks)
 

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                                NEOFLTR_550_12029.SYS (NetBIOS Redirector/Juniper Networks)
 

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                              NEOFLTR_550_12029.SYS (NetBIOS Redirector/Juniper Networks)
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                 fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                 fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 
 
 

---- EOF - GMER 1.0.14 ----

ComboFix:

Code:

ComboFix 08-09-01.01 - ***** 2008-09-02 16:47:25.1 - NTFSx86
 

ausgeführt von:: C:\Dokumente und Einstellungen\*****\Desktop\ComboFix.exe
 
 
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
 

.
 
 
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
 

.
 
 
 

C:\WINDOWS\system32\drivers\npf.sys
 

C:\WINDOWS\system32\packet.dll
 

C:\WINDOWS\system32\pthreadVC.dll
 

C:\WINDOWS\system32\rtl60.bpl
 

C:\WINDOWS\system32\wanpacket.dll
 

C:\WINDOWS\system32\wpcap.dll
 

C:\WINDOWS\Web\default.htt
 
 
 

.
 

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
 

.
 
 
 

-------\Legacy_NPF
 
 
 
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-08-02 bis 2008-09-02  ))))))))))))))))))))))))))))))
 

.
 
 
 

2008-09-02 16:37 . 2008-09-02 16:38        <DIR>        d--------        C:\Programme\CCleaner
 

2008-09-02 16:17 . 2008-09-02 16:17        250        --a------        C:\WINDOWS\gmer.ini
 

2008-09-02 14:07 . 2008-09-02 14:07        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Juniper Networks
 

2008-09-02 13:54 . 2008-09-02 13:54        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
 

2008-09-02 01:55 . 2008-09-02 01:55        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
 

2008-09-02 01:55 . 2008-09-02 01:55        <DIR>        d--------        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
 

2008-09-02 01:55 . 2008-09-02 01:55        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
 

2008-09-02 01:55 . 2008-08-17 15:01        38,472        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
 

2008-09-02 01:55 . 2008-08-17 15:01        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys
 

2008-09-02 00:41 . 2008-09-02 00:41        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
 

2008-09-02 00:40 . 2008-09-02 00:41        <DIR>        d--------        C:\Programme\SUPERAntiSpyware
 

2008-09-02 00:40 . 2008-09-02 00:40        <DIR>        d--------        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SUPERAntiSpyware.com
 

2008-09-02 00:39 . 2008-09-02 00:39        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
 

2008-09-01 23:58 . 2008-09-01 23:58        <DIR>        d--------        C:\WINDOWS\system32\de
 

2008-09-01 23:58 . 2008-09-01 23:58        <DIR>        d--------        C:\WINDOWS\l2schemas
 

2008-09-01 22:50 . 2008-04-14 04:22        712,704        ---------        C:\WINDOWS\system32\windowscodecs.dll
 

2008-09-01 22:50 . 2008-04-14 04:22        346,112        ---------        C:\WINDOWS\system32\windowscodecsext.dll
 

2008-09-01 22:50 . 2008-04-14 04:22        276,992        ---------        C:\WINDOWS\system32\wmphoto.dll
 

2008-09-01 22:50 . 2008-04-14 04:22        69,120        ---------        C:\WINDOWS\system32\wlanapi.dll
 

2008-09-01 22:49 . 2008-04-14 04:22        53,248        ---------        C:\WINDOWS\system32\tsgqec.dll
 

2008-09-01 22:49 . 2008-04-14 04:22        50,688        ---------        C:\WINDOWS\system32\tspkg.dll
 

2008-09-01 22:48 . 2008-04-14 04:23        32,768        ---------        C:\WINDOWS\system32\setupn.exe
 

2008-09-01 22:48 . 2008-04-13 20:40        10,240        ---------        C:\WINDOWS\system32\drivers\sffp_mmc.sys
 

2008-09-01 22:47 . 2008-04-14 04:22        294,400        ---------        C:\WINDOWS\system32\qagentrt.dll
 

2008-09-01 22:47 . 2008-04-14 04:22        290,304        ---------        C:\WINDOWS\system32\rhttpaa.dll
 

2008-09-01 22:47 . 2008-04-14 04:22        151,040        ---------        C:\WINDOWS\system32\qagent.dll
 

2008-09-01 22:47 . 2008-04-14 04:22        76,800        ---------        C:\WINDOWS\system32\qutil.dll
 

2008-09-01 22:47 . 2008-04-14 04:22        62,464        ---------        C:\WINDOWS\system32\qcliprov.dll
 

2008-09-01 22:47 . 2008-04-14 04:22        61,952        ---------        C:\WINDOWS\system32\rasqec.dll
 

2008-09-01 22:46 . 2008-04-14 04:22        412,160        ---------        C:\WINDOWS\system32\photometadatahandler.dll
 

2008-09-01 22:46 . 2008-04-14 04:22        145,408        ---------        C:\WINDOWS\system32\onex.dll
 

2008-09-01 22:44 . 2008-04-14 04:22        1,306,624        ---------        C:\WINDOWS\system32\msxml6.dll
 

2008-09-01 22:44 . 2008-04-14 04:22        1,306,624        -----c---        C:\WINDOWS\system32\dllcache\msxml6.dll
 

2008-09-01 22:44 . 2008-04-14 04:22        198,656        ---------        C:\WINDOWS\system32\napmontr.dll
 

2008-09-01 22:44 . 2008-04-14 04:22        177,664        ---------        C:\WINDOWS\system32\napstat.exe
 

2008-09-01 22:44 . 2008-04-14 03:57        93,184        ---------        C:\WINDOWS\system32\msxml6r.dll
 

2008-09-01 22:44 . 2008-04-14 03:57        93,184        -----c---        C:\WINDOWS\system32\dllcache\msxml6r.dll
 

2008-09-01 22:44 . 2008-04-14 04:22        30,208        ---------        C:\WINDOWS\system32\napipsec.dll
 

2008-09-01 22:43 . 2008-04-14 04:22        155,136        ---------        C:\WINDOWS\system32\mssha.dll
 

2008-09-01 22:43 . 2008-04-14 03:56        81,408        ---------        C:\WINDOWS\system32\msshavmsg.dll
 

2008-09-01 22:40 . 2008-04-14 04:22        397,312        ---------        C:\WINDOWS\system32\mmcex.dll
 

2008-09-01 22:40 . 2008-04-14 04:22        184,320        ---------        C:\WINDOWS\system32\microsoft.managementconsole.dll
 

2008-09-01 22:40 . 2008-04-14 04:22        106,496        ---------        C:\WINDOWS\system32\mmcfxcommon.dll
 

2008-09-01 22:40 . 2008-04-14 04:22        33,792        ---------        C:\WINDOWS\system32\mmcperf.exe
 

2008-09-01 22:37 . 2008-04-14 04:22        61,440        ---------        C:\WINDOWS\system32\kmsvc.dll
 

2008-09-01 22:37 . 2008-04-14 04:22        37,376        ---------        C:\WINDOWS\system32\l2gpstore.dll
 

2008-09-01 22:37 . 2008-04-14 04:20        6,144        ---------        C:\WINDOWS\system32\kbdpash.dll
 

2008-09-01 22:37 . 2008-04-14 04:20        6,144        ---------        C:\WINDOWS\system32\kbdnepr.dll
 

2008-09-01 22:37 . 2008-04-14 04:20        6,144        ---------        C:\WINDOWS\system32\kbdiultn.dll
 

2008-09-01 22:37 . 2008-04-14 04:20        6,144        ---------        C:\WINDOWS\system32\kbdbhc.dll
 

2008-09-01 22:35 . 2008-04-14 04:03        2,524        ---------        C:\WINDOWS\system32\pid.inf
 

2008-09-01 22:34 . 2008-04-13 18:36        144,384        ---------        C:\WINDOWS\system32\drivers\hdaudbus.sys
 

2008-09-01 22:33 . 2008-04-14 04:22        184,832        ---------        C:\WINDOWS\system32\eapp3hst.dll
 

2008-09-01 22:33 . 2008-04-14 04:22        182,272        ---------        C:\WINDOWS\system32\eapphost.dll
 

2008-09-01 22:33 . 2008-04-14 04:22        126,976        ---------        C:\WINDOWS\system32\eappcfg.dll
 

2008-09-01 22:33 . 2008-04-14 04:22        95,232        ---------        C:\WINDOWS\system32\eappgnui.dll
 

2008-09-01 22:33 . 2008-04-14 04:22        59,392        ---------        C:\WINDOWS\system32\eapqec.dll
 

2008-09-01 22:33 . 2008-04-14 04:22        40,960        ---------        C:\WINDOWS\system32\eappprxy.dll
 

2008-09-01 22:33 . 2008-04-14 04:22        33,792        ---------        C:\WINDOWS\system32\eapsvc.dll
 

2008-09-01 22:33 . 2008-04-14 04:22        30,720        ---------        C:\WINDOWS\system32\eapolqec.dll
 

2008-09-01 22:33 . 2006-12-28 21:01        19,569        --a------        C:\WINDOWS\005503_.tmp
 

2008-09-01 22:32 . 2008-04-14 04:22        651,264        ---------        C:\WINDOWS\system32\dot3ui.dll
 

2008-09-01 22:32 . 2008-04-14 04:22        133,120        ---------        C:\WINDOWS\system32\dot3svc.dll
 

2008-09-01 22:32 . 2008-04-14 04:22        62,976        ---------        C:\WINDOWS\system32\dot3cfg.dll
 

2008-09-01 22:32 . 2008-04-14 04:22        56,832        ---------        C:\WINDOWS\system32\dot3msm.dll
 

2008-09-01 22:32 . 2008-04-14 04:22        48,640        ---------        C:\WINDOWS\system32\dhcpqec.dll
 

2008-09-01 22:32 . 2008-04-14 04:22        39,936        ---------        C:\WINDOWS\system32\dot3gpclnt.dll
 

2008-09-01 22:32 . 2008-04-14 04:22        39,936        ---------        C:\WINDOWS\system32\dimsroam.dll
 

2008-09-01 22:32 . 2008-04-14 04:22        26,112        ---------        C:\WINDOWS\system32\dot3api.dll
 

2008-09-01 22:32 . 2008-04-14 04:22        19,456        ---------        C:\WINDOWS\system32\dimsntfy.dll
 

2008-09-01 22:32 . 2008-04-14 04:22        9,216        ---------        C:\WINDOWS\system32\dot3dlg.dll
 

2008-09-01 22:31 . 2008-04-14 04:22        233,472        ---------        C:\WINDOWS\system32\azroles.dll
 

2008-09-01 22:31 . 2008-04-14 04:22        12,800        ---------        C:\WINDOWS\system32\credssp.dll
 

2008-09-01 22:31 . 2008-04-14 04:22        7,168        ---------        C:\WINDOWS\system32\bitsprx4.dll
 

2008-09-01 22:30 . 2008-04-14 04:22        136,192        ---------        C:\WINDOWS\system32\aaclient.dll
 

2008-09-01 16:56 . 2008-09-01 16:56        <DIR>        d--------        C:\Programme\SiSoftware
 

2008-08-20 17:06 . 2008-04-11 21:04        691,712        -----c---        C:\WINDOWS\system32\dllcache\inetcomm.dll
 
 
 

.
 

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
 

.
 

2008-09-02 15:07        ---------        d-----w        C:\Programme\Gemeinsame Dateien\AccSys
 

2008-09-02 15:04        ---------        d-----w        C:\Programme\WLAN Quick-Starter
 

2008-09-01 22:29        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Dienste
 

2008-08-28 17:20        ---------        d-----w        C:\Programme\Mozilla Thunderbird
 

2008-07-27 19:06        ---------        d-----w        C:\Programme\Avira
 

2008-07-27 19:06        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
 

2008-07-07 20:26        253,952        ----a-w        C:\WINDOWS\system32\es.dll
 

2008-07-06 22:39        ---------        d-----w        C:\Programme\OpenOffice.org 2.4
 

2008-07-06 22:22        ---------        d-----w        C:\Programme\xp-AntiSpy
 

2008-07-06 18:56        ---------        d-----w        C:\Programme\Trend Micro
 

2008-07-06 18:29        ---------        d-----w        C:\Programme\Google
 

2008-07-06 18:25        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Real
 

2008-07-06 18:18        ---------        d-----w        C:\Programme\Audacity
 

2008-07-03 11:29        ---------        d-----w        C:\Programme\Apple Software Update
 

2008-07-03 00:29        ---------        d-----w        C:\Programme\iTunes
 

2008-07-03 00:29        ---------        d-----w        C:\Programme\iPod
 

2008-07-03 00:26        ---------        d-----w        C:\Programme\QuickTime
 

2008-07-02 23:34        ---------        d-----w        C:\Programme\Gemeinsame Dateien\aolshare
 

2008-07-02 23:18        ---------        d-----w        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Media Player Classic
 

2008-07-02 13:20        ---------        d-----w        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\OpenOffice.org2
 

2008-06-24 16:42        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll
 

2008-06-23 16:14        826,368        ----a-w        C:\WINDOWS\system32\wininet.dll
 

2008-06-20 17:46        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll
 

2008-06-17 12:39        499,712        ----a-w        C:\WINDOWS\system32\msvcp71.dll
 

2008-06-17 12:39        348,160        ----a-w        C:\WINDOWS\system32\msvcr71.dll
 

.
 
 
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
 

.
 

.
 

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

REGEDIT4
 
 
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
 

"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-08-19 23:34 1576176]
 
 
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 

"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-03-30 11:43 1236992]
 

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
 

"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2004-01-08 09:50 37888]
 

"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2005-07-25 12:01 1397760]
 

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
 

"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
 

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-06-02 11:13 267048]
 

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-27 21:16 266497]
 

"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
 
 
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
 

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]
 
 
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
 

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]
 
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
 

2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll
 
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
 

"vidc.iv41"= ir41_32.dll
 
 
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
 

SecurityProviders        msapsspc.dllschannel.dlldigest.dllmsnsspc.dll
 
 
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk.disabled]
 

backup=C:\WINDOWS\pss\AOL 9.0 Tray-Symbol.lnk.disabledCommon Startup
 
 
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk.disabled]
 

backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnk.disabledCommon Startup
 
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
 

-ra------ 2007-06-21 14:42 70952 C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe
 
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
 

--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
 
 
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
 

"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
 
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
 

"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
 

"SiS KHooker"=C:\WINDOWS\System32\khooker.exe
 

"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
 

"QuickTime Plugin Install"=C:\Programme\QuickTime\Plugins\DeleteMe1.exe
 

"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
 

"AOLDialer"=C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
 

"HostManager"=C:\Programme\Gemeinsame Dateien\AOL\1165581517\ee\AOLSoftware.exe
 

"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
 
 
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
 

"EnableFirewall"= 0 (0x0)
 
 
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
 

"%windir%\\system32\\sessmgr.exe"=
 

"C:\\Programme\\AOL 9.0a\\waol.exe"=
 

"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
 

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
 

"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
 

"C:\\WINDOWS\\system32\\mmc.exe"=
 

"C:\\Programme\\Gemeinsame Dateien\\aol\\1165581517\\ee\\aolsoftware.exe"=
 

"C:\\WINDOWS\\system32\\dxdiag.exe"=
 

"C:\\WINDOWS\\system32\\dpnsvr.exe"=
 

"C:\\Programme\\Juniper Networks\\Secure Application Manager\\dsSamProxy.exe"=
 

"C:\\Programme\\iTunes\\iTunes.exe"=
 

"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\RpcAgentSrv.exe"=
 
 
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
 

"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
 

"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
 

"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
 
 
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
 

"AllowInboundEchoRequest"= 1 (0x1)
 
 
 
 
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a85c3e0-4d06-11d9-9c5d-00038a000015}]
 

\Shell\AutoRun\command - G:\cdrun.exe
 

.
 

Inhalt des "geplante Tasks" Ordners
 

.
 

.
 

------- Zus„tzlicher Scan -------
 

.
 

FireFox -: Profile - C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\k31lekef.default\
 

FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
 

FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
 

FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava11.dll
 

FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava12.dll
 

FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava13.dll
 

FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava14.dll
 

FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava32.dll
 

FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
 

FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPOJI610.dll
 

FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPAdbESD.dll
 

FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbasic.dll
 

FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npqtplugin8.dll
 

FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npViewpoint.dll
 

FF -: plugin - C:\Programme\QuickTime\Plugins\npqtplugin8.dll
 

FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
 

.
 

.
 

------- File Associations (Beta) -------
 

.
 

.
 
 
 

**************************************************************************
 
 
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
 

Rootkit scan 2008-09-02 17:04:02
 

Windows 5.1.2600 Service Pack 3 NTFS
 
 
 

Scanne versteckte Prozesse...
 
 
 

Scanne versteckte Autostart Eintr„ge...
 
 
 

Scanne versteckte Dateien...
 
 
 

Scan erfolgreich abgeschlossen
 

versteckte Dateien: 0
 
 
 

**************************************************************************
 

.
 

------------------------ Weitere, laufende Prozesse ------------------------
 

.
 

C:\Programme\Ahead\InCD\InCDsrv.exe
 

C:\WINDOWS\system32\LEXBCES.EXE
 

C:\WINDOWS\system32\LEXPPS.EXE
 

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
 

C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
 

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
 

C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
 

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
 

C:\WINDOWS\system32\slserv.exe
 

C:\WINDOWS\wanmpsvc.exe
 

C:\Programme\Canon\CAL\CALMAIN.exe
 

C:\WINDOWS\system32\wscntfy.exe
 

C:\Programme\FirefoxPreloader\FirefoxPreloader.exe
 

C:\Programme\Mozilla Firefox\firefox.exe
 

C:\Programme\iPod\bin\iPodService.exe
 

C:\WINDOWS\system32\rundll32.exe
 

C:\WINDOWS\system32\rundll32.exe
 

.
 

**************************************************************************
 

.
 

Zeit der Fertigstellung: 2008-09-02 17:18:53 - PC wurde neu gestartet
 

ComboFix-quarantined-files.txt  2008-09-02 15:18:21
 
 
 

Pre-Run: 18 Verzeichnis(se), 20,309,340,160 Bytes frei
 

Post-Run: 21 Verzeichnis(se), 20,290,273,280 Bytes frei
 
 
 

260        --- E O F ---        2008-09-01 22:19:47

Allerdings hat ComboFix den Computer automatisch neu gestartet und nach dem Neustart wurden alle (normalerweise gewünschten und nichtgewünschten) beim Neustart automatisch startenden Anwendungen wieder gestartet. Gehört sich das so bzw. fälscht es das Ergebnis oder macht sonstige Probleme?

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Folders to delete:

C:\WINDOWS\system32\de

C:\WINDOWS\l2schemas

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Seid ihr bei AOL? Oder Habt ihr da mit Absicht irgendeine AOL Analyse gestartet? Die Gmer Einträgfe taugen mir nicht wirklich..

Öhm.... Die avenger.txt ist unlustigerweise leer... :(

Und die beiden Verzeichnisse scheinen auch noch zu existieren... (was wenn ich das Script richtig interpretiert habe, eigentlich nicht der Fall sein dürfte....)

Allerdings muss ich dazu sagen, dass der Laptop mir beim ersten Neustart abgestürzt ist, weswegen ich noch einmal neu starten musste.

Was AOL angeht: Ich bin nicht bei AOL, meine Eltern eigentlich auch nicht, sondern bei Arcor. (Ich wohne schon lange nicht mehr bei denen ;) )
Aber der Computer ist vergleichsweise alt, so ca. von 2001/02 und mein Vater hat, soweit ich weiß, den Laptop trotz aller Probleme durchgehend ohne Reinigung oder Neuaufsetzen als Arbeitscomputer benutzt.* Anfangs hatte der noch einen AOL-Vertrag. Ob der immer noch besteht weiß ich nicht (könnte ich mir aber nicht vorstellen), aber zumindest sind die Programme von AOL noch installiert...

*(Bitte jetzt einfach nichts sagen, ich red schon seit Jahren auf ihn ein...:koch: Falls jetzt die unvermeidliche Frage kommt, warum ich mir/dir das Ganze überhaupt antue: Meine Mutter hat den Laptop quasi "geerbt". Es ist ihr erster Computer, sie kennt sich gar nicht aus und ich will nicht, dass sie an der Sturheit meines Vaters leiden muss. ;))

/edit: Vergiss das mit dem leere Avenger-File! Ich hab mir das Logfile noch mal genauer angesehen und es scheint so, als hätte ich das Script aus Versehen nur falsch kopiert. Werds gleich nochmal machen.

Hi,

warte bitte nochmal auf Bestätigung von undoreal :)

lg myrtille

So, hier noch einmal. Entschuldigung für den Blödsinn vorher.

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46
 

http://swandog46.geekstogo.com
 
 
 

Platform:  Windows XP
 
 
 

*******************
 
 
 

Script file opened successfully.
 

Script file read successfully.
 
 
 

Backups directory opened successfully at C:\Avenger
 
 
 

*******************
 
 
 

Beginning to process script file:
 
 
 

Rootkit scan active.
 

No rootkits found!
 
 
 

Folder "C:\WINDOWS\system32\de" deleted successfully.
 

Folder "C:\WINDOWS\l2schemas" deleted successfully.
 
 
 

Completed script processing.
 
 
 

*******************
 
 
 

Finished!  Terminate.

noch ein Edit: Entschuldigung, myrtille, aber jetzt hab ich dich zu spät gesehen. Ich hoffe, ich bereite dadurch nicht zu viel Ärger... :(

Guten Morgen. So ein Mist, dass ich gestern Nacht nimmer online war.. Gestern war ich etwas unkonzentriert. Die Ordner kommen mit dem SP3. Sry.

Entpacke die C:\Avenger.zip Passwort ist infected

Da sollten dann zwei Ordner draus werden. Einer ist 45,0 KB groß. Das ist der C:\WINDOWS\l2schemas.

Der andere der C:\WINDOWS\system32\de.

Füge sie bitte wieder ins Dateisystem ein.

Zitat:

aber zumindest sind die Programme von AOL noch installiert...

Die würde ich mal komplett deinstallieren und danach mit dem cCleaner aufräumen.. (Punkte 1&2) Da läuft nämlich so einiges versteckt mit..

Systemanalyse

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Unter File -> Database Update Start drücken.
Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
Im Hauptfenster den Start Button drücken.
Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Zitat:

Zitat von undoreal (Beitrag 368311)

Guten Morgen. So ein Mist, dass ich gestern Nacht nimmer online war.. Gestern war ich etwas unkonzentriert. Die Ordner kommen mit dem SP3. Sry.

Kein Problem. ;)

Zitat:

Entpacke die C:\Avenger.zip Passwort ist infected

Meinst du eher C:\Avenger\Backup.zip? Ich frag mal lieber nach, damit ich nicht schon wieder eigenmächtig handle und evtl. was falsch mach, aber eine Avenger.zip gibts nicht und die Backup.zip enthält die beiden Ordner.

Ansonsten mach ich gleich weiter...

Jop. Meine ich.. ^^

Mache mal bitte folgendes damit wir detailliert herausfinden können warum SASW nicht durchläuft..
Eine große Hilfe wäre zu wissen bei welchem Schlüsselpfad genau er abschmiert.

Start->Sys.strg.->Erweitert->Starten und Wiederherstellen->Einstellungen dort den Haken bei Systemfehler=>Automatischen Neustart durchführen rausnehmen.

Dann mache erneut den Scan mit SASW. Nun sollte eigentlich ein BlueScreen kommen bevor er sich verabschiedet. Diesen bitte fotofieren und hochladen oder abschreiben.
Dann neustarten.

Danach: Bitte das hier kurz durchlesen denn ohne dein Verständiss des Ganzen wird es für mich schwierig dich da durch zu lotsen... http://support.microsoft.com/kb/308427

Einsehen von Ereignisprotokollen

Gehen Sie folgendermaßen vor, um die Ereignisanzeige zu öffnen:
1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
2. Klicken Sie in der Konsolenstruktur auf Ereignisanzeige.

Die Anwendungs-, Sicherheits- und Systemprotokolle werden im Fenster der Ereignisanzeige angezeigt.

Dann dort doppelt auf Anwendungen klicken.

Du kannst nach dem Fehler suchen: Ansicht -> Suche -> SuperAntiSpyware als "Ereignissquelle" auswählen und suchen lassen. Es kann mehrere Einträge geben, also weitersuchen lassen.

Hab alles nach deiner Anleitung gemacht und zwei mal versucht. Leider erzeugt der Absturz keinen Bluescreen, sondern der Computer schaltet einfach aus. Auch unter "Ereignisanzeige -> Anwendung" findet sich kein Eintrag zu SASW.

Ich werde jetzt einfach mal nach deiner Anleitung mit AVZ fortfahren (und hoffentlich doch noch ein Stündchen die Sonne genießen :D).

Hier der Rapidshare-Link:

http://rapidshare.com/files/142323244/avz_sysinfo.zip.html

Allerdings war der Scan recht kurz und hat nix gefunden. Hätte ich noch irgendwas besonderes für den Scan beachten sollen?

Zitat:

findet sich kein Eintrag zu SASW.

grrr. Kannst du das ganze bitte nochmal versuchen und dir die Uhrzeit des Absturzes merken. Über die sollte sich der Fehler, von welcher Quelle der auch immer stammen mag zu finden sein.

Ich würde da nicht so sehr drauf rumhacken wenn SASw nicht sonst immer absolut stabil laufen würde.. Grade im abgesicherten ist das nicht geheuer.. Nicht dass da doch noch was mitläuft..

PS: Deinstalliere mal Anti-Malware vorher und räume mit dem cCleaner auf. Punkte 1&2
PPS: Ist da ein einen Lexmark Drucker installiert?

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

c:\windows\system32\lexpps.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Zitat:

Zitat von undoreal (Beitrag 368482)

Grade im abgesicherten ist das nicht geheuer.. Nicht dass da doch noch was mitläuft..

Wobei mir einfällt: Scan lieber im Normalen, im Abgesicherten oder in beiden versuchen?

Für den Nachmittag am See ists ohnehin schon zu spät :D

Ist eigentlich total egal. Hauptsache er stürzt ab! ^^

Nein, am besten wärs natürlich wenn er endlich mal durchlaufen würde..

Schalte aber AntiVir vorher ab.

Nochmal zu vorher: Ja, es ist ein Lexmark installiert, deswegen ist die "lexpps.exe" okay, oder?

Antivir bzw. den Hintergrundwächter hab ich bisher bei jedem Scan hier ausgeschaltet.

Joar, sollte dann O.k. sein.

SASPro planmäßig abgestürzt beim Scannen von "HKU\S-15-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\stoptracking.biz" um 17.42 Uhr. :P

Und du wirst lachen: Im Ereignisprotokoll steht unter keiner Rubrik ein Eintrag für 17.42. Ich kann dir aber gerne die Einträge für 17.43 posten. Welche Rubrik brauchst du denn genau?

Sauber!

Zitat:

Welche Rubrik brauchst du denn genau?

Brauche ich nicht mehr!

Der Schlüssel ist schädlich. Was zur nächsten Frage führt: Wer verursacht den Absturtz wenn wir ihm auf die Füße treten.. Google spuckt leider nichts aus...

ISeeYouXP - XP

Lade dir das Tool IseeYouXp by ShadowPuterDude
Deaktiviere alle Wächter deiner AntiViren Programme und schließe diese vollständig!
Schließe auch alle anderen Anwendungen!
Doppelklicke die ISeeYouXP.exe -> Die Datei wird entpackt nach C:\ISeeYouXP
Das Programm startet danach automatisch. Sollte das nicht der Fall sein, doppelklicke die ISeeYouXP Verknüpfung auf deinem Desktop.
Warte den Scan ab. Nach dem Scan findest du das ISeeYouXP.txt log auf deinem Desktop. Hänge es bitte an deinen nächsten Post an. (Nicht direkt in den Thread posten da es sehr lang sein kann!)

Ein leicht veränderter Schlüssel wird von PurityScan und Haxdoor benutzt. Könnte also eine neue Version sein. Die sind beide nicht lustig und dein Fall ist mir eh nicht geheuer.. Ich sitze zwar nicht an dem Rechner drann aber mein Bauch sagt mir, dass da was nicht stimmt.
Ich würde den Rechner platt machen..

Du könntest auch noch einen Scan mit emisoft versuchen. Die haben den anderen Schlüssel (\stop-tracking.biz) in ihrer Datenbank.

Ist auf dem rechner eigentlich Spybot installiert?

Mache bitte noch einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report). Wenn er zu lang für einen Post ist dann hänge ihn bitte als Textdokument an.

Neuaufsetzen wär mir gar nicht so unrecht. Da meine Mutter PC-Neuling und deswegen XP auch nicht gewohnt ist, werd ich mal Xubuntu drauf hauen und gut ist. Gibt zwar noch ein paar Probleme, da ich weder von CD noch von USB booten kann (hat was mit dem BIOS und dem CD-Treiber zu tun, also nicht mit Malware-Befall ;)), aber das schaff ich schon.

Trotzdem wär's voll lieb von dir, wenn du dir das ISeeYouXP- Logfile noch anschauen könntest, denn ich würde gerne wissen, was in etwa auf dem Rechner war. (Wenns dir zu blöd ist, reicht mir auch eine Vermutung auf Grundlage unseres bisherigen Kenntnisstandes vollkommen aus. ;))

Das Logfile ist zu groß zum Anhängen, daher der Rapidshare-Link: h**p://rapidshare.com/files/142580029/ISeeYouXP.txt.html

iClean führte übrigens (endlich?) zum Systemabsturz mit Bluescreen. Der war allerdings zu schnell weg, als dass ich notieren konnte, was drin stand. Gibts da irgendwo ein gespeichertes Textfile für den Problembericht bzw. irgendwas anderes, das uns weiterhelfen könnte (z.B. in den Ereignisprotokollen)?

Vielen Dank für deine Mühe und dein Engagement auf jedem Fall. :party:

Hi,

ich misch mich dann nochmal ein:

Bluescreens kannst du dir länger anzeigen lassen, indem du unter Start->Systemsteuerung->System->Erweitert->Start und Wiederherstellen->Den Haken bei automatischer Neustart rausnehmen.

Wenn du jetzt nochmal iClean ausführst, sollte der Bluescreen lange angezeigt werden und du hast zeit ihn abzuschreiben.

lg myrtille

Zitat:

Zitat von myrtille (Beitrag 368798)

Bluescreens kannst du dir länger anzeigen lassen, indem du unter Start->Systemsteuerung->System->Erweitert->Start und Wiederherstellen->Den Haken bei automatischer Neustart rausnehmen.

Danke für deine Hilfe, allerdings hab ich besagten Haken schon rausgenommen. :( Naja, ich werds nochmal probieren...

Na, wer sagts denn? Dieses mal hats funktioniert mit iClean.

Wieder Rapidshare: h**p://rapidshare.com/files/142584720/iclean.log.html

Also. ISeeYou findet den Schlüssel nicht da der zonemap Schlüssel der bei dir zum Absturz führt offensichtlich unter einem anderen Benutzer angelegt wurde.. Das ist recht merkwürdig. Außerdem findet das Prog einen Hinweis auf Haxdoor was meinen Verdacht erhärtet und auch deine komischen Abstürze erklären würde..

Xubuntu ist sicherlich eine gute Wahl.

Alles klar. Scheint ja ein lustiges kleines Programm zu sein, dieses Haxdoor, nach dem, was ich beim googlen gefunden habe. :daumenhoc Jetzt wird unverzüglich platt gemacht und Xubuntu installiert. Vielen Dank dir noch mal (und myrtille auch), ihr seid super. :aplaus:

Dann verabschiede ich mich hier mal an dieser Stelle und wünsche euch weiterhin viel Erfolg, Engagement und Spaß (den habt ihr doch auch ein bisschen, oder?).

Zitat:

den habt ihr doch auch ein bisschen, oder?

aber immer doch.. =)