Trojaner-Board - Probleme mit mmplayer.exe gelöst? hier mein HiJack-log

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Probleme mit mmplayer.exe gelöst? hier mein HiJack-log (https://www.trojaner-board.de/77715-probleme-mmplayer-exe-geloest-hijack-log.html)

Probleme mit mmplayer.exe gelöst? hier mein HiJack-log

Hallo,

zuerst einmal muss ich sagen, dass ich noch keinerlei Erfahrung in diesem Forum habe. Ich habe mir die Anleitungen durchgelesen und hoffe, dass ich keine zu groben Fehler mache.

Problem:

Wie einige andere aus dem Forum hatte ich Probleme mit meinem Firefox. Nach einer kurzen Suche im Internet, bin ich dann auf das Forum gestoßen und habe versucht mein Problem zu lösen.

So war mein Vorgehen:

Folgendes Problem war aufgetreten: Firefox war nicht mehr zu starten, folgenden Fehlermeldung erschien: "Firefox Wird Von Einem Anderen Programm Verwendet"

Daraufhin habe ich Malwarebytes verwendet und 5 Probleme identifiziert und bereinigt. Siehe unten stehende logfiles.

Nun habe ich noch einen kompletten Scan mit McAffee und noch einmal mit Malwarebytes gemacht, Ergebnis: keine Funde. Ich hänge nun mal meine Logs aus Malwarebytes und Hijackthis an vielleicht könnt Ihr mir helfen und mal überprüfen, ob sich sonst noch was eingeschlichen hat.

Herzlichen Dank

Malwarebytes vorher

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 2837

Windows 5.1.2600 Service Pack 3
 

21.09.2009 20:59:12

mbam-log-2009-09-21 (20-59-07).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 118179

Laufzeit: 10 minute(s), 53 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 2

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\ladmin\Anwendungsdaten\Adobe\mmplayer.exe (Trojan.FakeAlert.H) -> No action taken.

C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> No action taken.

Malwarebytes nachher

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 2837

Windows 5.1.2600 Service Pack 3
 

21.09.2009 21:02:10

mbam-log-2009-09-21 (21-02-10).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 118179

Laufzeit: 10 minute(s), 53 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 2

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\ladmin\Anwendungsdaten\Adobe\mmplayer.exe (Trojan.FakeAlert.H) -> Delete on reboot.

C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Hijack Log file

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:11:53, on 21.09.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16876)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

C:\WINDOWS\system32\acs.exe

C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Symantec\pcAnywhere\awhost32.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Centenn.ial\Audit\CAgent32.exe

C:\Centenn.ial\Audit\xferwan.exe

C:\Programme\Cisco VPN Client\cvpnd.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Network Associates\Common Framework\FrameworkService.exe

C:\Programme\Network Associates\VirusScan\mcshield.exe

C:\Programme\Network Associates\VirusScan\vstskmgr.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

c:\programme\lenovo\system update\suservice.exe

C:\WINDOWS\System32\TPHDEXLG.exe

C:\WINDOWS\system32\TpKmpSVC.exe

C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

c:\_integra\bin\ccmagent.exe

C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe

c:\_integra\bin\shstart.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Analog Devices\Core\smax4pnp.exe

C:\Programme\Network Associates\VirusScan\SHSTAT.EXE

C:\Programme\Network Associates\Common Framework\udaterui.exe

C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\system32\TpShocks.exe

C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe

C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe

C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe

C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe

C:\Programme\Network Associates\Common Framework\McTray.exe

C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe

C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://***

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\_integra\bin\shstart.exe,

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Discovery User Input] C:\Discovery\User Input\userin32.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\udaterui.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CCM User Profile Manager] "c:\_integra\upm\bin\CCM_User.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [PSQLLauncher] "C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" /startup

O4 - HKLM\..\Run: [TpShocks] TpShocks.exe

O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe

O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe

O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe

O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog

O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE

O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe"

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.***

O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab

O16 - DPF: {76E5AF9D-2B3E-4FEB-A31F-A9E63A27FA29} (IASRunner Class) - https://www-307.ibm.com/pc/support/access/aslibmain/content/AcpIR.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***

O17 - HKLM\Software\..\Telephony: DomainName = ***

O17 - HKLM\System\CCS\Services\Tcpip\..\{3A390356-59E9-4B6B-AF09-7899CAD96772}: Domain = ***

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ***

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ***

O18 - Protocol: skype4com - {***} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)

O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

O23 - Service: ACU Configuration Service (acs) - Atheros - C:\WINDOWS\system32\acs.exe

O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

O23 - Service: CentennialClientAgent - Centennial Software Limited  - C:\Centenn.ial\Audit\CAgent32.exe

O23 - Service: CentennialIPTransferAgent - Centennial Software Limited  - C:\Centenn.ial\Audit\xferwan.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco VPN Client\cvpnd.exe

O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe

O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe

O23 - Service: System Update (SUService) -   - c:\programme\lenovo\system update\suservice.exe

O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

O23 - Service: Symantec LiveState Agent for Windows (WControl) - Symantec Corporation - c:\_integra\bin\ccmagent.exe
 

--

End of file - 15113 bytes

Hallo und :hallo:

Code:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ***

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ***

Ist das rein zufällig ein Rechner in einer Windows-Serverdomäne? Wenn ja, solltest Du besser Deiner EDV-Abteilung mal Bescheid geben. Oder habt Ihr alle Adminrechte auf den Kisten? :eek: :pfui:

ich habe schon admin rechte. habe auch schon rücksprache gehalten

Aha. Also steht der Rechner im Büro. Und warum willst Du das Problem nicht von Deinen EDV-Kollegen lösen lassen? Die sind dafür zuständig!!

weil es auch mein privater rechner ist und ich im moment eine für mich wichtige arbeit damit schreiben muss und nur sicher gehen will das alles in ordnung ist. wenn das gegen die forumsregeln verstößt ist das ok und ich entschuldige mich.

vg

Ich wollte nur drauf hinweisen, das wird in Firmen mitunter garnicht gern gesehen, wenn die Mitarbeiter selber an "ihren" Kisten herumdoktorn ohne, dass die EDV-Abteilung Bescheid weiß.

Was hat aber Dein Privatrechner in der Domäne zu suchen? :confused:

ist keine firmen sondern eine uni domain, ich bin student und benötige teilweise zugang zu bibliotheksdatenbanken.

Okay, wenn Du meinst :party:
Bitte dann mal diese Liste beachten und abarbeiten. MalwareBytes kannst Du ja erstmal weglassen, noch ein Scan kann man vllt. später nochmal machen)
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

hallo cosinus,

nachdem jetzt mein Mcaffee auch einen weiteren Trojaner gefunden hat: Generic PWS.y!yd habe ich gerade mal das RSIT durchlaufen lassen. Ich wäre Dir für Hilfe extrem dankbar:

http://www.file-upload.net/download-1919262/logs.zip.html

Wo wurde was gefunden? Reich bitte den Pfad nach!!
Außerdem solltest Du die Liste abarbeiten! :twak:

Zitat:

Zitat von cosinus (Beitrag 469510)

Wo wurde was gefunden? Reich bitte den Pfad nach!!
Außerdem solltest Du die Liste abarbeiten! :twak:

Hallo Arne,

was habe ich auf der Liste vergessen? (tut mir leid) der Pfad ist der folgenden:
C\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PQQHDKB

sag mir doch bitte was ich noch machen soll.

herzlichen dank

Entschuldige ich nehm alles zurück :o
MBAM hast Du ja schon vorher ausgeführt (ich glaub ich mach zuviel Stränge parallel...Dein Log schau ich mir aber gleich an)

macht gar nix, hoffe Du kannst mir ein wenig weiterhelfen. Ich bin im Moment arg im Streß mit meiner Arbeit und kann dieses Trojanproblem gar nicht brauchen. Ich wäre Dir wirklich unendlich dankbar, wenn Du mir was zu meinen Logs sagen könntest.

tausend dank

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS\system32\psqlpwd.dll

Danach:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hier die ergebnisse von virus total (oder soll ich dass als pdf wieder zum download zur verfügung stellen?):

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.30 -
AhnLab-V3 5.0.0.2 2009.09.30 -
AntiVir 7.9.1.27 2009.09.30 -
Antiy-AVL 2.0.3.7 2009.09.30 -
Authentium 5.1.2.4 2009.09.30 -
Avast 4.8.1351.0 2009.09.29 -
AVG 8.5.0.412 2009.09.30 -
BitDefender 7.2 2009.09.30 -
CAT-QuickHeal 10.00 2009.09.30 -
ClamAV 0.94.1 2009.09.30 -
Comodo 2473 2009.09.30 -
DrWeb 5.0.0.12182 2009.09.30 -
eSafe 7.0.17.0 2009.09.30 -
eTrust-Vet 31.6.6769 2009.09.30 -
F-Prot 4.5.1.85 2009.09.30 -
F-Secure 8.0.14470.0 2009.09.30 -
Fortinet 3.120.0.0 2009.09.30 -
GData 19 2009.09.30 -
Ikarus T3.1.1.72.0 2009.09.30 -
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.857 2009.09.30 -
Kaspersky 7.0.0.125 2009.09.30 -
McAfee 5757 2009.09.30 -
McAfee+Artemis 5757 2009.09.30 -
McAfee-GW-Edition 6.8.5 2009.09.30 -
Microsoft 1.5005 2009.09.23 -
NOD32 4470 2009.09.30 -
Norman 6.01.09 2009.09.30 -
nProtect 2009.1.8.0 2009.09.30 -
Panda 10.0.2.2 2009.09.30 -
PCTools 4.4.2.0 2009.09.30 -
Prevx 3.0 2009.09.30 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.09.30 -
Sunbelt 3.2.1858.2 2009.09.30 -
Symantec 1.4.4.12 2009.09.30 -
TheHacker 6.5.0.2.022 2009.09.30 -
TrendMicro 8.950.0.1094 2009.09.30 -
VBA32 3.12.10.11 2009.09.29 -
ViRobot 2009.9.30.1965 2009.09.30 -
VirusBuster 4.6.5.0 2009.09.30 -
weitere Informationen
File size: 39936 bytes
MD5...: 880f813ce4bd035f9c29fd6c43d9822d
SHA1..: ea44207362645b0e7f8ffe2d803a8bd0c94d66fd
SHA256: 2f6753b228512fddcc29c0ee5cfcb2f96bdc4c4620a2bfa2bce67d664fc1afef
ssdeep: 768:VJfLv2XibsjAcQlJl5spwTjJmxYFXyKZ6R2Ogl2Ep:VVLv2XibSQlPSpw/JJ
X5hl2E
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1c83
timedatestamp.....: 0x43f1bc14 (Tue Feb 14 11:16:36 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5a1f 0x5c00 6.66 dbc7c29473ec3f58a0aed1356cab0fa5
.rdata 0x7000 0x1d86 0x1e00 4.99 4e8d1fe9a3bf4f11622ee6241f8437d0
.data 0x9000 0x1278 0xa00 2.86 7927e1d12f8ccfec0909a71dae5e0c6f
.rsrc 0xb000 0x3f0 0x400 3.47 b2a949a0c31f672c350cf63f8fd25481
.reloc 0xc000 0xf48 0x1000 4.13 316b1b81992292d941b629cf3dbe86c6

( 2 imports )
> KERNEL32.dll: GetFileAttributesW, GetLastError, GetModuleFileNameW, LoadLibraryExW, MultiByteToWideChar, GetTickCount, ExitProcess, GetCurrentThreadId, GetCommandLineA, GetVersionExA, HeapAlloc, RaiseException, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, HeapReAlloc, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCurrentProcess, HeapSize, TlsAlloc, SetLastError, TlsFree, TlsSetValue, TlsGetValue, HeapFree, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, UnhandledExceptionFilter, WriteFile, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, SetUnhandledExceptionFilter, LoadLibraryA, RtlUnwind, InterlockedExchange, VirtualQuery, GetACP, GetOEMCP, GetCPInfo, InitializeCriticalSection, IsBadCodePtr, GetLocaleInfoA, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW, VirtualProtect, GetSystemInfo, LocalAlloc, FreeLibrary
> ADVAPI32.dll: RegQueryValueExW, RegCloseKey, RegOpenKeyExW

( 12 exports )
InitializeChangeNotify, LockEvent, LogoffEvent, LogonEvent, Module_GetStaticList, Module_IsUnlocked, PasswordChangeNotify, PasswordFilter, ShellStartEvent, ShutdownEvent, StartupEvent, UnlockEvent
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: UPEK Inc.
copyright....: Copyright (C) 2001-2005 UPEK Inc.
product......: Protector Suite QL
description..: Logon stub
original name: psqlpwd.dll
internal name: PSQLPWD
file version.: 5.4.0.2786
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Nein so als Text ist es hervorragend! mach nun den Durchlauf mit Combofix.

mach ich sofort, muss sichere nur eben mal ein paar daten :eek:

die von der it-beratung in der uni haben diese combofix schon mal durchlaufen lassen. aber nicht indem sie vorher die datei umbenannt haben. ich glaube die habe es von nem usb stick gestartet. kann ich das jetzt problemlos noch mal laufen lassen?

Mach lieber vorher eine Deinstallation über Start, Ausführen, combofix /U eintippen => ok

Dann Combofix erneut über "meine" Anleitung ausführen.

wurde nicht gefunden, deshalb nehme ich mal an dass es nicht installiert ist

Ja genau. Dann lass es so bleiben und mach Dich an der neuen Anleitung zu CF ran.

ok mach ich, ich mache erst das mit dem cleaner und dann combofix, dass aber am besten offline und mit ausgeschalteten mcaffee richtig ?

Ja genau! So ist's richtig!

danke arne!! du bist mir wirklich eine extrem große hilfe!!! ich weiß gar nicht wie ich mich da noch weiter bedanken kann!

hier das logfile von combofix:

http://www.file-upload.net/download-1919622/combofix-log.txt.html

Zitat:

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

Dieser Eintrag ist irgendwie :balla:
Werte mal die Datei c:\windows\system32\fm20enu.dll auch bei Virustotal aus, auch wenn die Datei von namen her eigentlich legitim sein müsste.

bin grad dabei, kommt sofort

hier ist der scan:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.30 -
AhnLab-V3 5.0.0.2 2009.09.30 -
AntiVir 7.9.1.27 2009.09.30 -
Antiy-AVL 2.0.3.7 2009.09.30 -
Authentium 5.1.2.4 2009.09.30 -
Avast 4.8.1351.0 2009.09.29 -
AVG 8.5.0.412 2009.09.30 -
BitDefender 7.2 2009.09.30 -
CAT-QuickHeal 10.00 2009.09.30 -
ClamAV 0.94.1 2009.09.30 -
Comodo 2474 2009.09.30 -
DrWeb 5.0.0.12182 2009.09.30 -
eSafe 7.0.17.0 2009.09.30 -
eTrust-Vet None 2009.09.30 -
F-Prot 4.5.1.85 2009.09.30 -
F-Secure 8.0.14470.0 2009.09.30 -
Fortinet 3.120.0.0 2009.09.30 -
GData 19 2009.09.30 -
Ikarus T3.1.1.72.0 2009.09.30 -
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.857 2009.09.30 -
Kaspersky 7.0.0.125 2009.09.30 -
McAfee 5757 2009.09.30 -
McAfee+Artemis 5757 2009.09.30 -
McAfee-GW-Edition 6.8.5 2009.09.30 -
Microsoft 1.5005 2009.09.23 -
NOD32 4471 2009.09.30 -
Norman 6.01.09 2009.09.30 -
nProtect 2009.1.8.0 2009.09.30 -
Panda 10.0.2.2 2009.09.30 -
PCTools 4.4.2.0 2009.09.30 -
Prevx 3.0 2009.09.30 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.09.30 -
Sunbelt 3.2.1858.2 2009.09.30 -
Symantec 1.4.4.12 2009.09.30 -
TheHacker 6.5.0.2.023 2009.09.30 -
TrendMicro 8.950.0.1094 2009.09.30 -
VBA32 3.12.10.11 2009.09.30 -
ViRobot 2009.9.30.1965 2009.09.30 -
VirusBuster 4.6.5.0 2009.09.30 -
weitere Informationen
File size: 35440 bytes
MD5...: 35c4aee0b4742b1ee00a68d9743b818f
SHA1..: d7b2aec3cccb089fb0b1befe2f371255d18137bd
SHA256: 6b207e59186f061232a7adbdc8dfe66d09c05d3f820c2d679943a1cfc7fd9593
ssdeep: 384:veOWJ8Y6WhyYSwyuRjhuFNczJCoWOKguEznhu1jRaeWTFP:WXFyPwyuRjTCo
WOKE1u1jRaeqP
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x0
timedatestamp.....: 0x460082ac (Wed Mar 21 00:56:12 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.rdata 0x1000 0x70 0x200 0.40 4ffbc0f3f4f1845d3947234e806199ee
.rsrc 0x2000 0x5b18 0x5c00 3.75 4f68301bf8ca5566376f0243aace9a32
.reloc 0x8000 0xc 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win16/32 Executable Delphi generic (33.9%)
Generic Win/DOS Executable (32.7%)
DOS Executable Generic (32.7%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: Copyright(c) Microsoft Corp. 1993-2003
product......: Microsoft_ Forms
description..: Microsoft_ Forms International DLL
original name: fm20enu.DLL
internal name: fm20enu
file version.: 11.0.8161
comments.....: n/a
signers......: Microsoft Corporation
Microsoft Code Signing PCA
Microsoft Root Authority
signing date.: 4:17 AM 3/23/2007
verified.....: -

Die Datei ist okay, warum da aber so ein Zweichenbrei drinsteht, weiß ich noch nicht. :o

Wir müssen Scripten:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:

KILLALL::
 

Registry::

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"7040710900063D11C8EF10054038389C"=-

"7040110900063D11C8EF10054038389C"=-
 

Suspect::

c:\windows\system32\fm20enu.dll

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

sorry, aber welche XXX meinst du? kannst Du mir vielleicht sagen was wir mit dem scripen bewirken?

Äh, sry das kannst Du ignorieren. Für den Fall der Fälle steht das da drin, falls Einträge mit ausgesternten Benutzernamen ins CFScript müssen ;)

Und die einzelnen Combofix-Optionen will ich jetzt hier eigentlich nicht zum Thema machen...

t'schuldigung dass ich noch mal nerve ich baue also nur eine txt-datei mit dem inhalt:

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040710900063D11C8EF10054038389C"=-
"7040110900063D11C8EF10054038389C"=-

Suspect::
c:\windows\system32\fm20enu.dll

dann speicher ich dass und ziehe das of combofix.exe (heißt bei mir anders)

ich wollte nur noch mal sicher gehen, weil Killall: so dramatisch klingt, sorry wenn ich nerve meine arbeit hängt aber an dem rechner:confused:

Das ist nur ein "interner" CF-Befehl, keine Angst.
Und merke, es gibt nur zwei verschiedene Typen von Daten: gesicherte und unwichtige!

du bist gut ;-), für mich gibt es aber im moment auch einen laufenden und nicht laufenden rechner ;-). ich habe in einer woche abgabe und kann mir nicht erlauben den rechner abzuschießen:kloppen:

aber ich mach dann mal, vielen dank dass Du soviel geduld hast :daumenhoc

also ich geh offline und poste gleich das ergebnis

Combofix ist jetzt beim Autscan hängen geblieben. Was nun?

Combofix ist jetzt beim Autscan hängen geblieben. Was nun?

Sorry doppelt geklickt und geantwortet, hab es nun noch einmal probiert: gleiches ergebnis, combofix bleibt hängen

ich habe den rechner noch mal wieder neu gestartet, jetzt dauert es aber ewig nach der anmeldung die icons auf dem desktop erscheinen:(

nur interesse halber; ich habe mir mal die zeichenfolge aus dem combofix log angeschaut und mit dem von deinem skript vergleichen, da gibt es offenbar einen kleinen unterschied:

Ø•€|ÿÿÿÿ•€|ù•6~* diese komischen kästen sind im combofixreport andere zeichen

vg

ich habe den combofix noch einmal ohne das skript laufen lassen, wenn du möchtest kann ich nochmal das logfile hochladen. nun fährt sich der rechner zumindst wieder schnell hoch.:)

Du kannst es mal lieber anders versuchen.

1.) Öffne regedit.exe
2.) Navigiere zu HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\
3.) Im rechten Teilfenster diese löschen:

"7040710900063D11C8EF10054038389C"
"7040110900063D11C8EF10054038389C"

ich habe das versucht aber leider ist der ordner im regestrierung-editor nicht zu finden?! muss ich da noch was sichtbar machen, bis user data kann ich dem pfad folgen, aber einen ordner local system gibt es nicht

hallo arne,

hast du vielleicht noch eine ideed wie ich das problem lösen kann, bzw. was sagst du zu dem rest der analysierten logs, ist auf dem rechner etwas, was da nicht hingehört?

vg

Möglicherweise ist das auch ein nicht meher existenter Registry-Eintrag. Wie macht sich denn mittlerweile Dein Rechner, sind da noch (offensichtliche) Probleme oder Schädlingsmeldungen?

hallo arne,

eigentlich läuft er ganz ordentlich, bis auf diese macafee trojaner meldung die ich hier gepostet habe. insgesamt eigentlich alles io. bin aber stark verunsichert ob nicht noch irgendwo etwas steckt. herzlichen dank für deine antwort

m.