|
Windows stürzt ab. APPCRASH svchost.exe Hallo an Alle, ich hab seit ca. einer Woche folgendes Problem: Mein Notebook stürzt nach bestimmter Zeit jedes mal ab. Davor (aber nicht unmittelbar davor) kommt eine Fehlermeldung, in der es heißt: "Problemereignisname: APPCRASH Anwendungsname: svchost.exe" Ein anderes Problem ist, dass ich beim Klicken auf Google-Suchergebnisse immer auf Werbeseiten umgeleitet werde. Ich hab mich auch schon mit Google schlau gemacht und schon manche Sachen selber ausprobiert (ich weiß, dass sollte ich als Nicht-PC-Experte nicht tun, aber das kann man jetzt nicht mehr rückgängig machen...). Ich habe meinen PC mit Hitman Pro 3.5 gecheckt (und auch diverses gefunden und bereinigt) und mein HiJack This-Logfile hier (hxxp://www.hijackthis.de/) ausgewertet und die empfohlenen Einträge gefixt. Das Google-Problem war danach weg, aber die Fehlermeldung kommt immer noch und auch das Abstürzen ist weiterhin ein Problem. Kann mir hier jemand helfen? Hier mein Logfile: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 17:22:07, on 25.11.2010 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18943) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\Launch Manager\LManager.exe C:\Program Files\Synaptics\SynTP\SynTPStart.exe C:\Windows\WindowsMobile\wmdSync.exe C:\Windows\System32\wpcumi.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Windows\System32\rundll32.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe C:\Windows\ehome\ehtray.exe C:\Program Files\BumpTop\BumpTop.exe C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\rundll32.exe C:\Windows\ehome\ehmsas.exe C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE C:\Users\***\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\BumpTop\TexHelper.exe C:\Program Files\BumpTop\TexHelper.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Java\jre6\bin\jucheck.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Users\***\Downloads\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.intl.acer.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.intl.acer.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: BGAntiphishingBHO - {FC872B94-35E3-4B94-B028-184A2A1C7CCE} - C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIEBHO.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe" -boot O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [{695C099D-204D-0274-11D5-D97B4170054B}] "C:\Users\***\AppData\Roaming\Ahvaar\invi.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - .DEFAULT User Startup: adix.exe (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: OneNote Inhaltsverzeichnis.onetoc2 O4 - Startup: Orion.lnk = C:\Convesoft\Orion\Messenger.exe O4 - Global Startup: BumpTop.lnk = C:\Program Files\BumpTop\BumpTop.exe O4 - Global Startup: Empowering Technology Launcher.lnk = ? O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: BullGuard - {27FD17FB-CF63-486b-B2BE-8D8781CBEA01} - C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIE.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: BgGamingMonitor.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: BgRaSvc - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\Support\BgRaSvc.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: BullGuard scanning service (BsScanner) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardScanner.exe O23 - Service: BullGuard update service (BsUpdate) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe O23 - Service: Google Update Service (gupdate1ca268c62dd4ead) (gupdate1ca268c62dd4ead) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 13796 bytes |
:hallo: Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
Schritt 2 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en:
Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Nun das Logfile in Code-Tags posten. |
Danke für die Antwort! Ich hab den OTL-Scan jetzt schon zweimal probiert, aber beides mal ist es bei "Manual File Scan - Getting folder structure" stehen geblieben und nach ca. einer halben Stunde kam die Fehlermeldung "Out of memory"... Wisst ihr was man da tun kann? |
Dann mach bitte zuerst einen Scan mit Malwarebytes Anti-Malware und poste das Log. |
Ok, hier das Anti-Malware Log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5199 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18943 27.11.2010 17:39:57 mbam-log-2010-11-27 (17-39-57).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 166058 Laufzeit: 18 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{695c099d-204d-0274-11d5-d97b4170054b} (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\registrymonitor2 (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\+++\AppData\Roaming\Ahvaar\invi.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vuon.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. C:\Users\+++\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully. Und noch was: Während dem Scan kam eine Meldung von Bullguard. Dummerweise weiß ich nicht mehr genau was drin stand und das Fenster war auf einmal weg, aber ich kann mich noch erinnern, dass es um einen Trojaner ging und dass "Anti-Malware" infiziert sei... edit1: die Fehlermeldung war doch noch da und sieht wie folg aus: hxxp://img522.imageshack.us/img522/9773/bullguard.jpg edit2: seit heute habe ich bei manchen Fenster so ein altes Windows-Design. |
Kannst Du nun mit OTL scannen? |
Liste der Anhänge anzeigen (Anzahl: 1) Nein, der Scan hängt wieder: |
Führst Du es als Admin aus? Und was ist mit dem GMER Scan? |
Ok, der OTL-Scan hat jetzt endlich geklappt. Die Logiles im Anhang, da sie zu groß für hier waren. Übrigens, mein PC ist schon seit drei Tagen nicht mehr abgestürzt, aber die Fehlermeldung, dass der Host-Prozess nicht mehr funktioniert, kommt immer noch... |
Nutzt Du einen Proxy?$ Wie heisst die Fehlermeldung genau? |
Nein, kein Proxy. Und hier ist die Fehlermeldung: Problemsignatur: Problemereignisname: APPCRASH Anwendungsname: svchost.exe Anwendungsversion: 6.0.6001.18000 Anwendungszeitstempel: 47918b89 Fehlermodulname: ntdll.dll Fehlermodulversion: 6.0.6002.18005 Fehlermodulzeitstempel: 49e03821 Ausnahmecode: c0000005 Ausnahmeoffset: 0004714e Betriebsystemversion: 6.0.6002.2.2.0.768.3 Gebietsschema-ID: 1031 Zusatzinformation 1: 4a3d Zusatzinformation 2: c79c8c21b0e4702d54b9aebf158b2ec4 Zusatzinformation 3: f371 Zusatzinformation 4: 3b5338b3aed6dc4728911b2d00a3b11f Lesen Sie unsere Datenschutzrichtlinie: hxxp://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407 Danke schonmal, dass sich hier jemand um mich kümmert ;). |
Schritt 1 Fixen mit OTL
Code: :OTL
Schritt 2 Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Ok, hab jetzt mit OTL gefixt: Mein PC ist heute wieder abgestürzt und gestern hatte ich auf einmal eine Taskleiste im Stile von Windows 95. All processes killed ========== OTL ========== Prefs.js: "212.118.224.149" removed from network.proxy.http Prefs.js: 80 removed from network.proxy.http_port Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Acer Tour Reminder deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\EA Core deleted successfully. ADS C:\ProgramData\TEMP:B623B5B8 deleted successfully. ADS C:\ProgramData\TEMP:0A73A758 deleted successfully. ADS C:\ProgramData\TEMP:B203B914 deleted successfully. ADS C:\ProgramData\TEMP:AA9519A6 deleted successfully. ADS C:\ProgramData\TEMP:94188BC6 deleted successfully. ADS C:\ProgramData\TEMP:798A3728 deleted successfully. ADS C:\ProgramData\TEMP:9F683177 deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 41 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: *** ->Temp folder emptied: 266830204 bytes ->Temporary Internet Files folder emptied: 63513366 bytes ->Java cache emptied: 36576731 bytes ->FireFox cache emptied: 23662150 bytes ->Google Chrome cache emptied: 124076057 bytes ->Apple Safari cache emptied: 11674624 bytes ->Opera cache emptied: 14453178 bytes ->Flash cache emptied: 29892 bytes User: +++ ->Temp folder emptied: 270559298 bytes ->Temporary Internet Files folder emptied: 6485539 bytes ->Java cache emptied: 57345480 bytes ->FireFox cache emptied: 37416277 bytes ->Google Chrome cache emptied: 251401218 bytes ->Apple Safari cache emptied: 31820800 bytes ->Opera cache emptied: 0 bytes ->Flash cache emptied: 184979 bytes User: Public User: TEMP ->Temporary Internet Files folder emptied: 32768 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1739135 bytes RecycleBin emptied: 270238449 bytes Total Files Cleaned = 1.400,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 12032010_180744 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Mach noch Schritt 2. |
Der OTL-Scan hängt wieder... Soll ich nochmal den Anti-Malware-Scan machen? |
Ja, update Malwarebytes und scanne erneut. |
So, hab die Scans jetzt gemacht. Bei dem OTL-Scan hab ich jedoch vergessen ihn als Administrator auszuführen. Macht das etwas? Seit neuestem habe ich jetzt auf den Desktop und auch in anderen Ordner eine Datei mit dem Namen desktop.ini Was hat es denn damit auf sich? Anti-Malware-Log: Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5262 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18943 07.12.2010 18:24:08 mbam-log-2010-12-07 (18-24-08).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 165521 Laufzeit: 16 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Users\+++\AppData\Roaming\abpzlw.dat (Malware.Trace) -> Quarantined and deleted successfully. Das OTL-Log ist im Anhang. Extra.txt war dieses Mal nicht dabei... |
Ja, führe es als Admin aus. |
Hab es jetzt nochmal als Admin ausgeführt. Hier das Log. |
Schritt 1 ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
|
Hier das ESET-Log. Und weißt du denn woher die desktop.ini-Dateien kommen? ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6415 # api_version=3.0.2 # EOSSerial=e5397576f5c60c44a251479dba1f55e5 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2010-12-09 09:43:24 # local_time=2010-12-09 10:43:24 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.0.6002 NT Service Pack 2 # compatibility_mode=512 16777215 100 0 0 0 0 0 # compatibility_mode=4609 16776893 80 61 1048871 24813219 0 0 # compatibility_mode=5892 16776637 100 100 5640684 129454931 0 0 # compatibility_mode=8192 67108863 100 0 3893 3893 0 0 # scanned=207436 # found=4 # cleaned=0 # scan_time=8801 C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\34443196-6232066d multiple threats (unable to clean) 00000000000000000000000000000000 I C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\518de1d-19596c8c multiple threats (unable to clean) 00000000000000000000000000000000 I C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\39b69aab-7f30a7a4 multiple threats (unable to clean) 00000000000000000000000000000000 I C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\3655b688-4c77d146 multiple threats (unable to clean) 00000000000000000000000000000000 I |
Bezüglich der desktop.ini kannst Du hier lesen: Informationen über die Datei "Desktop.ini" Schritt 1 System mit Windows-eigenen Mitteln bereinigen Datenträger bereinigen
Temporäre Ordner bereinigen
IE Cache leeren
Firefox Cache leeren
Temporäre Java-Dateien löschen
Wenn gemeldet wird, dass einzelne Dateien nicht gelöscht werden konnten, weil sie in Gebrauch sind, ist das in Ordnung. Schritt 2 CCleaner installieren und einstellen
|
Habe jetzt Schritt 1 abgearbeitet. Nur als ich "temp" ausführen wollte, kam die Meldung, dass ich "momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner verfüge". Ich dachte das hängt vielleicht mit der Benutzerkontensteuerung zusammen und wollte diese ausschalten, aber ich konnte weder msconfig öffnen (Fehlermeldung: C:\Windows\system32\msconfig.exe Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.), noch über die Systemsteuerung gehen (wenn ich auf "Benutzerkontensteuerung ein- oder ausschalten" gedrückt hab, hat sich einfach gar nichts geöffnet). Soll ich jetzt mit Schritt 2 weitermachen? |
Ok, hab den Computer neu gestartet und jetzt hat alles funktioniert. Ich mach jetzt Schritt 2. Jetzt hab ich doch noch ein Problem mit dem CCleaner: Bei mir gibt es erstens kein "Eingabefeld Verlauf" (oder ist das "Verlauf" unter Internet Explorer gemeint?) Und zweitens sind unter System ein paar Häkchen von vornherein nicht gesetzt, soll ich da einen Haken setzen? Danke schonmal. |
Ja den bei IE und alle bei System. |
Die Anwendungen, bei denen ich den Haken setze, werden aber nicht gelöscht oder? |
Nein werden nicht gelöscht. Nur die Temp Dateien. |
Ok, wollte da nur sicher gehen ;) Ich hab den CCleaner jetzt ausgeführt. |
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Sorry, hatte die letzten Tage ziemlich viel um die Ohren, aber jetzt hab ich es endlich mal geschafft den Scan zu machen. Hier das Log. Extra.txt war wieder nicht dabei. |
Hast Du denn noch Probleme? |
Nein, in letzter Zeit nicht. Vielen, vielen, vielen Dank, wenn es das gewesen ist :daumenhoc |
mh, zu früh gefreut :headbang: jetzt kam gerade zweimal binnen einer Stunde die Fehlermeldung... Hier die Problemsignatur: Problemsignatur: Problemereignisname: APPCRASH Anwendungsname: svchost.exe Anwendungsversion: 6.0.6001.18000 Anwendungszeitstempel: 47918b89 Fehlermodulname: ntdll.dll Fehlermodulversion: 6.0.6002.18005 Fehlermodulzeitstempel: 49e03821 Ausnahmecode: c000071b Ausnahmeoffset: 000888f5 Betriebsystemversion: 6.0.6002.2.2.0.768.3 Gebietsschema-ID: 1031 Zusatzinformation 1: 0e02 Zusatzinformation 2: b21b56b606e7544720668ce364087082 Zusatzinformation 3: 0e02 Zusatzinformation 4: b21b56b606e7544720668ce364087082 Lesen Sie unsere Datenschutzrichtlinie: hxxp://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407 |
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird** http://i266.photobucket.com/albums/i...ownload_FF.gif http://i94.photobucket.com/albums/l8...x-Download.png
|
Sorry, dass ich nicht geantwortet habe, aber ich war jetzt zwei Wochen im Urlaub. Und war dementsprechend auch nicht an meinem Laptop. Soll ich Combo-Fix jetzt trotzdem einfach ausführen oder ersteinmal abwarten? P.S.: Ein gutes neues Jahr! |
Ja führe es aus. |
Combofix Logfile: Code: ComboFix 11-01-06.02 - +++ 06.01.2011 21:02:10.1.2 - x86 |
Schritt 1 Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Schritt 1 Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Bei dem Kaspersky-Scan kam bei mir folgende Fehlermeldung: "Update has failed The program could not be started. Please close the window of Kaspersky Online Scanner 7.0 and start the program again from the web site of Kaspersky Lab. Successful updating of Kaspersky Online Scanner 7.0 and scanning of your computer requires uninterrupted Internet connection. Please make sure that the Internet connection is established. [ERROR: License has expired]" Und auf der Website steht: "The current Kaspersky Online Scanner is unavailable - we apologize for the inconvenience. While you are waiting for the improved Online Scanner, why not take a free trial of Kaspersky Internet Security 2011, which has everything you need to keep your computer safe." hxxp://www.kaspersky.com/virusscanner Naja, jedenfalls hab ich den OTL-Scan gemacht. Hier das Log: |
Und wie läufts? |
Bis jetzt einwandrei. Kann man denn sagen, dass ich jetzt "rein" bin? Und wenn ja, was hat die Probleme ausgelöst? |
Du hattest einen Bootkit. Ein bootkit ist ein Programm, das durch Veränderung des Master Boot Record (MBR) versucht die Ausführung von Schadprogrammen (Malware) sicherzustellen. Ein bootkit versucht auch, die eigene Entdeckung und Entfernung durch Versteckten seines eigenen Code im MBR zu verhindern. Schritt 1 System mit Windows-eigenen Mitteln bereinigen Datenträger bereinigen
Temporäre Ordner bereinigen
IE Cache leeren
Firefox Cache leeren
Temporäre Java-Dateien löschen
Wenn gemeldet wird, dass einzelne Dateien nicht gelöscht werden konnten, weil sie in Gebrauch sind, ist das in Ordnung. Schritt 2 BitDefender QuickScan
|
Bei einigen Dateien in den Temp-Ordner kam beim Löschen die Meldung, dass der Zugriff auf den Zielordner verweigert wurde und dass ich Berechtigungen zum Durchführen des Vorgangs brauche. QuickScan Beta 32-bit v0.9.9.52 ------------------------------- Überprüfungsdatum: Fri Jan 07 20:16:34 2011 Computer ID: 9479E17B Q:\140061.deu\Office14\WINWORD.EXE - zugriff nicht möglich Q:\140061.deu\Office14\POWERPNT.EXE - zugriff nicht möglich Keine Infizierungen gefunden. ----------------------------- Prozesse -------- Acer eRecovery Management 4312 C:\Acer\Empowering Technology\eRecovery\eRAgent.exe Betriebssystem Microsoft® Windows® 3832 C:\Program Files\Windows Media Player\wmpnscfg.exe Betriebssystem Microsoft® Windows® 4028 C:\Windows\explorer.exe Betriebssystem Microsoft® Windows® 4020 C:\Windows\System32\dwm.exe Betriebssystem Microsoft® Windows® 3924 C:\Windows\System32\rundll32.exe Betriebssystem Microsoft® Windows® 2748 C:\Windows\System32\rundll32.exe Betriebssystem Microsoft® Windows® 3864 C:\Windows\System32\taskeng.exe BullGuard 3988 C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe Dropbox 5536 C:\Users\+++\AppData\Roaming\Dropbox\bin\Dropbox.exe eDataSecurity 1172 C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe Firefox 3508 C:\Program Files\Mozilla Firefox\firefox.exe Google Chrome 488 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5292 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5312 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4828 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 1836 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 2332 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5608 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5632 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5672 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5924 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 3780 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 1644 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4184 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4472 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4740 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4812 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4900 C:\Program Files\Google\Chrome\Application\chrome.exe GrooveMonitor Utility 3628 C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe HD Audio Control Panel 1340 C:\Windows\RtHDVCpl.exe ICQ 5404 C:\Program Files\ICQ6.5\ICQ.exe iTunes 3800 C:\Program Files\iTunes\iTunesHelper.exe Java(TM) Platform SE Auto Updater 2 0 1112 C:\Program Files\Common Files\Java\Java Update\jusched.exe Microsoft Office 2010 2848 C:\Program Files\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Microsoft Office OneNote 1636 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE Microsoft® Windows® Operating System 3564 C:\Windows\ehome\ehmsas.exe Microsoft® Windows® Operating System 3784 C:\Windows\ehome\ehtray.exe Microsoft® Windows® Operating System 3788 C:\Windows\System32\wuauclt.exe Microsoft® Windows®-Betriebssystem 3600 C:\Windows\WindowsMobile\wmdSync.exe OFFICEVIRT.EXE 3104 C:\Program Files\Common Files\microsoft shared\Virtualization Handler\OFFICEVIRT.EXE RAID Event Monitor 2680 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe Realtek HD Audio Data Rerouter 4480 C:\Users\+++~1\AppData\Local\temp\RtkBtMnt.exe Synaptics Pointing Device Driver 3512 C:\Program Files\Synaptics\SynTP\SynTPStart.exe Windows 3612 C:\Windows\System32\wpcumi.exe Windows Defender 5812 C:\Program Files\Windows Defender\MSASCui.exe Netzwerkaktivität ----------------- Vorgang firefox.exe (3508) verbunden mit Anschluss 80 (HTTP) --> x Vorgang firefox.exe (3508) verbunden mit Anschluss 80 (HTTP) --> x Vorgang firefox.exe (3508) verbunden mit Anschluss 80 (HTTP) --> x Vorgang firefox.exe (3508) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang Dropbox.exe (5536) verbunden mit Anschluss 80 (HTTP) -->x Vorgang chrome.exe (5672) verbunden mit Anschluss 80 (HTTP) --> x Vorgang Dropbox.exe (5536) kontrolliert die Anschlüsse: 17500 Autoruns und kritische Dateien ------------------------------ Adobe Acrobat C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe Adobe Reader and Acrobat Manager C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe Betriebssystem Microsoft® Windows® C:\Program Files\Windows Media Player\wmpnscfg.exe Betriebssystem Microsoft® Windows® C:\Windows\System32\browseui.dll Betriebssystem Microsoft® Windows® c:\windows\system32\userinit.exe BullGuard C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe Dropbox C:\Users\+++\AppData\Roaming\Dropbox\bin\Dropbox.exe eDataSecurity C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe GrooveMonitor Utility C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe GrooveShellExtensions Module C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll HD Audio Control Panel C:\Windows\RtHDVCpl.exe iTunes C:\Program Files\iTunes\iTunesHelper.exe Java(TM) Platform SE Auto Updater 2 0 C:\Program Files\Common Files\Java\Java Update\jusched.exe Launch Manager C:\Program Files\Launch Manager\LManager.exe Malwarebytes' Anti-Malware C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe Microsoft Office OneNote C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE Microsoft® Windows® Operating System C:\Windows\ehome\ehtray.exe Microsoft® Windows®-Betriebssystem C:\Windows\WindowsMobile\wmdSync.exe NVIDIA Compatible Windows 2000 Display C:\Windows\System32\nvcpl.dll NVIDIA Driver Helper Service, Version 1 C:\Windows\System32\nvsvc.dll NVIDIA Media Center Library C:\Windows\System32\nvmctray.dll QuickTime C:\Program Files\QuickTime\QTTask.exe RAID Event Monitor C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe sonix DefaultSettingEXE C:\Windows\PLFSetL.exe Synaptics Pointing Device Driver C:\Program Files\Synaptics\SynTP\SynTPStart.exe Windows C:\Windows\System32\wpcumi.exe Windows® Internet Explorer C:\Windows\System32\webcheck.dll Browser Plugins --------------- 2007 Microsoft Office system C:\Program Files\Mozilla Firefox\plugins\NPOFF12.DLL AcroIEHelperShim Library c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll Adobe Acrobat C:\Program Files\Internet Explorer\plugins\nppdf32.dll Adobe Acrobat C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll Betriebssystem Microsoft® Windows® C:\Windows\System32\mswsock.dll Betriebssystem Microsoft® Windows® C:\Windows\System32\NapiNSP.dll Betriebssystem Microsoft® Windows® C:\Windows\System32\pnrpnsp.dll BitDefender QuickScan C:\Users\+++\AppData\Roaming\Mozilla\Firefox\Profiles\xir1dwan.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll BitDefender QuickScan C:\Users\+++\AppData\Roaming\Mozilla\Firefox\Profiles\xir1dwan.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll BitDefender QuickScan C:\Users\+++\AppData\Roaming\Mozilla\Firefox\Profiles\xir1dwan.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll (deleted) Bonjour C:\Program Files\Bonjour\mdnsNSP.dll BullGuard c:\program files\bullguard ltd\bullguard\antiphishing\ie\bgantiphishingiebho.dll BullGuard C:\Windows\System32\BGLsp.dll eDStoolbar Module c:\windows\system32\edstoolbar.dll FFExternalAlert.dll C:\Users\+++\AppData\Roaming\Mozilla\Firefox\Profiles\xir1dwan.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll Google Earth Plugin C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll Google Update C:\Program Files\Google\Update\1.2.183.39\npGoogleOneClick8.dll Google Updater C:\Program Files\Google\Google Updater\2.4.1691.8062\npCIDetect13.dll GoogleToolbarNotifier c:\program files\google\googletoolbarnotifier\5.2.4204.1700\swg.dll GrooveShellExtensions Module C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll ICQ C:\Program Files\ICQ6.5\ICQ.exe Java Deployment Toolkit 6.0.220.4 C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll Java(TM) Platform SE 6 U22 c:\program files\java\jre6\bin\jp2ssv.dll Java(TM) Platform SE 6 U22 C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll Microsoft Office 2010 C:\Program Files\Microsoft Office\Office14\NPSPWRAP.DLL Microsoft® Windows Live Login Helper c:\program files\common files\microsoft shared\windows live\windowslivelogin.dll Microsoft® Windows Media Player Firefox C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll Microsoft® Windows® Operating System C:\Windows\System32\nlaapi.dll Microsoft® Windows® Operating System C:\Windows\System32\winrnr.dll Mozilla Default Plug-in C:\Program Files\Mozilla Firefox\plugins\npnul32.dll npitunes.dll C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll nppdf32.DEU C:\Program Files\Internet Explorer\plugins\nppdf32.DEU nppdf32.DEU C:\Program Files\Mozilla Firefox\plugins\nppdf32.DEU NPSWF32.dll C:\Windows\system32\Macromed\Flash\NPSWF32.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin2.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin3.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin4.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin5.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin6.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin7.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll RadioWMPCore.dll C:\Users\+++\AppData\Roaming\Mozilla\Firefox\Profiles\xir1dwan.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll Shockwave for Director C:\Windows\system32\Adobe\Director\np32dsw.dll Windows C:\Windows\System32\wpclsp.dll Windows Presentation Foundation C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll Windows® Internet Explorer C:\Windows\System32\ieframe.dll fahlende Dateien ---------------- Datei nicht gefunden: C:\Windows\System32\appmgmts.dll --> HKLM\System\ControlSet001\services\AppMgmt\Parameters\"ServiceDll" Datei nicht gefunden: c:\windows\system32\ bggamingmonitor.dll --> HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" Überprüfen ---------- Keine Dateien hochgeladen Scan beendet - Kommunikation hat 3 Sek. gedauert übertragene Daten - 0.07 MB gesendet, 635.97 KB empfangen 1377 Dateien und Module geprüft - 88 seconds ============================================================================== |
Das ist gut möglich. Schritt 1 Combofix deinstallieren Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren. Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix.exe /u => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst. Schritt 2 Systemwiederherstellungpunkte leeren Windows +E Taste drücken --> Rechtsklick über Laufwerk C --> Eigenschaften --> Bereinigen --> weitere Optionen --> Systemwiederherstellung und Schattenkopien bereinigen. Schritt 3 Tool CleanUp Starte bitte die OTL.exe. Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen. Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren. Schritt 4 Automatische Updates Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten. Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl und klicke auf OK. Stelle sicher das die automatischen Updates aktiviert sind. Schritt 5 Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
Schritt 6 Tipps für sicheres Surfen Das sind meine Vorschläge. Verwende einen alternativen Browser statt den IE. Ich empfehle Mozilla Firefox. Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
Don'ts
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann. |
Ok, bis jetzt läuft noch alles wie geschmiert. Nur beim Deinstallieren von ComboFix kam die Fehlermeldung "PEV.cfxxe funktioniert nicht mehr" Problemsignatur: Problemereignisname: APPCRASH Anwendungsname: PEV.cfxxe Anwendungsversion: 0.0.0.0 Anwendungszeitstempel: 4bd0e994 Fehlermodulname: PEV.cfxxe Fehlermodulversion: 0.0.0.0 Fehlermodulzeitstempel: 4bd0e994 Ausnahmecode: c00000fd Ausnahmeoffset: 0003ef0e Betriebsystemversion: 6.0.6002.2.2.0.768.3 Gebietsschema-ID: 1031 Zusatzinformation 1: 1a30 Zusatzinformation 2: 0a27fdcaf8b042a222a44827bb72863e Zusatzinformation 3: 8ab3 Zusatzinformation 4: b90ae427254b6e0a47ed850cad29f317 Lesen Sie unsere Datenschutzrichtlinie: hxxp://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407 Aber sowohl der OTL-Scan als auch Malwarebytes haben nichts gefunden. |
Noch Fragen? |
Falls die Fehlermeldung nichts böses zu bedeuten hat, nein! Vielen Dank für die Hilfe! :daumenhoc (und falls mal wieder was ist, meld ich mich ;)) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board