Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Fehlermeldung bei Zugriff auf Systemsteuerung. (https://www.trojaner-board.de/96583-fehlermeldung-zugriff-systemsteuerung.html)

stormy acher 17.03.2011 13:30
Fehlermeldung bei Zugriff auf Systemsteuerung.
 
Hallo, wenn ich versuche auf die Systemsteuerung zu zugreifen, zB. "Software" oder "Sicherheitscenter", kommt folgende Fehlermeldung :
Die Anwendung oder Datei DLL C:\WINDOWS\system32\Shim Eng.dll ist keine gültige Windows- Datei, überprüfen Sie die Datei mit der Installationsdiskette.

gleichzeitig meldet Kasperski das C:\WINDOWS\system32\rundll32.exe (PID: 1852) Versuch Laden eines neuen oder veränderten Moduls wurde blockiert.

Ich habe HiJack und Malwarebytes drüber laufen lassen und hänge die Logfiles an.
Für mich ist das alles:glaskugel:, vielleicht kann mir jemand helfen.

Danke schon mal im vorraus.

stormy acher

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:45:16, on 16.03.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\StudioLine Photo Basic\NMSAccess.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Avanquest\PDF Experte 7 Ultimate\vspdfprsrv.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\FreeCommander\FreeCommander.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Download\ANTIVIR#ANTISPY\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD0.dll
R3 - URLSearchHook: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: ShowBarObj Class - {2863E737-DD3F-4280-9AF8-E9E79C16F312} - C:\Programme\Save Tube Video Company\SaveTubeVideo\MinBHO.dll
O2 - BHO: CBAbzockschutz.InitToolbarBHO - {2e250b90-0e7a-42a3-9d65-e39f9f227fa4} - mscoree.dll (file missing)
O2 - BHO: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD0.dll
O3 - Toolbar: (no name) - {F334C7B0-8774-4d5b-BD7A-4F448D03A1AE} - (no file)
O3 - Toolbar: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD0.dll
O3 - Toolbar: COMPUTERBILD-Abzockschutz - {353e2a48-6254-4bd3-88f4-3b51a0ca7870} - mscoree.dll (file missing)
O3 - Toolbar: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Avanquest\PDF Experte 7 Ultimate\vspdfprsrv.exe --background
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten6\\preispiraten.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save YouTube Video - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4B85B14-DBA2-4893-B052-A24A83AFA5BA}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (file missing)
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NMSAccess - Unknown owner - C:\Programme\StudioLine Photo Basic\NMSAccess.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
O23 - Service: vtigercrm504 - Apache Software Foundation - C:\Programme\vtigercrm5\apache\bin\Apache.exe

--
End of file - 7320 bytes


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6076

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

16.03.2011 15:51:31
mbam-log-2011-03-16 (15-51-17).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 162198
Laufzeit: 17 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 10
Infizierte Dateien: 56

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{2863E737-DD3F-4280-9AF8-E9E79C16F312} (Adware.SkyMediaPack) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{27BA317E-7BBD-4EBE-A06A-47F076D9D6F7} (Adware.SkyMediaPack) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2574231F-9D6F-4B0E-9041-5DD7484564AD} (Adware.SkyMediaPack) -> No action taken.
HKEY_CLASSES_ROOT\MinBHO.ShowBarObj.1 (Adware.SkyMediaPack) -> No action taken.
HKEY_CLASSES_ROOT\MinBHO.ShowBarObj (Adware.SkyMediaPack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2863E737-DD3F-4280-9AF8-E9E79C16F312} (Adware.SkyMediaPack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2863E737-DD3F-4280-9AF8-E9E79C16F312} (Adware.SkyMediaPack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{014DA6C1-189F-421A-88CD-07CFE51CFF10} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F334C7B0-8774-4D5B-BD7A-4F448D03A1AE} (Adware.SkyLab) -> No action taken.
HKEY_CURRENT_USER\Software\SkyMedia (Adware.SkyMedia) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveTubeVideo_is1 (Adware.SkyLab) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{70EF8B2A-3A34-4913-AAFC-5A2827E0B1B1} (Adware.SkyLab) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{AD49CE2B-B922-4E2A-AAD9-C1565855C7BC} (Adware.SkyLab) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UNINS000.EXE (Adware.SkyLab) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{F334C7B0-8774-4D5B-BD7A-4F448D03A1AE} (Adware.SkyLab) -> Value: {F334C7B0-8774-4D5B-BD7A-4F448D03A1AE} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{F334C7B0-8774-4d5b-BD7A-4F448D03A1AE} (Adware.SkyLab) -> Value: {F334C7B0-8774-4d5b-BD7A-4F448D03A1AE} -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
c:\programme\save tube video company (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\content (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\locale (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\locale\en-US (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\skin (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\components (Adware.SkyLab) -> No action taken.

Infizierte Dateien:
c:\programme\save tube video company\savetubevideo\MinBHO.dll (Adware.SkyMediaPack) -> No action taken.
c:\programme\save tube video company\savetubevideo\browserstartpage.dll (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\Config.dat (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\downloader.exe (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\installhelper.exe (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\savetubevideo.dll (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\toolbarupdate.exe (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\transport_dll.dll (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\unins000.dat (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\unins000.exe (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\update.dll (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome.manifest (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\install.rdf (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\tmp (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\content\about.xul (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\content\settings.js (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\content\skysearchtoolbar.js (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\content\skysearchtoolbar.xul (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\locale\en-US\skysearchtoolbar.dtd (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\locale\en-US\toolbar.properties (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\skin\about.png (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\skin\aboutDlg.png (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\skin\bigbutton.png (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\skin\gripper.png (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\skin\savevideo.png (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\skin\savevideo2.png (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\skin\search.png (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\skin\settings.png (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\skin\showstatus.png (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\skin\skysearchtoolbar.css (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\anti-viruses.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\archivators.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\auto credit.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\auto insurance.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\baccarat.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\bingo.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\body-building.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\casino.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\credit.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\free downloaders.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\general health.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\health and life.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\home.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\keno.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\men`s health.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\mp3 dvd players.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\pain relief.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\pets.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\poker.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\weight loss.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\chrome\words\women`s health.txt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\components\ISwslib.xpt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\components\nsirdshistoryservice.js (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\components\nsirdshistoryservice.xpt (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\components\rdstb-autocomplete.js (Adware.SkyLab) -> No action taken.
c:\programme\save tube video company\savetubevideo\FF\components\swslib.dll (Adware.SkyLab) -> No action taken.

cosinus 17.03.2011 15:05
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

stormy acher 17.03.2011 20:42
Hallo cosinus,
die späteren Logfiles von Malwarebytes sind kurz und haben auch nichts gefunden. Ich habe aus "Lust und Leidenschaft" noch SuperAntiSpyware laufen lassen.
Hiervon das Logfile:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 03/17/2011 at 11:57 AM

Application Version : 4.49.1000

Core Rules Database Version : 6614
Trace Rules Database Version: 4426

Scan type : Quick Scan
Total Scan Time : 01:39:39

Memory items scanned : 439
Memory threats detected : 0
Registry items scanned : 2067
Registry threats detected : 22
File items scanned : 13878
File threats detected : 3

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Ecki\Cookies\ecki@www.windowsmedia[1].txt

Unclassified.Oreans32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#DeviceDesc
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Capabilities
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Driver
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\LogConf

Security.HiJack[ImageFileExecutionOptions]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRONTPG.EXE
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRONTPG.EXE#Debugger
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\JAVAW.EXE
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\JAVAW.EXE#Debugger
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\JAVAWS.EXE
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\JAVAWS.EXE#Debugger
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSTORE.EXE
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSTORE.EXE#Debugger
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SANDRA.EXE
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SANDRA.EXE#Debugger

Application.Oreans32
C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS

Rogue.Agent/Gen-Nullo[DLL]
C:\WINDOWS\SYSTEM32\SIBCS207.DLL

Besten dank erstmal, ich habe aber die Befürchtung das ich um ein Neuaufsetzen nicht drum herum komme.
Das Problem besteht nähmlich weiterhin!
Jetzt habe ich auch Vieles zum Thema sicheren PC gelesen, aber eigentlich suche ich nach einer "begreifbaren" Anleitung.
Bin im moment ziemlich überfordert.

Liebe Grüße Ecki

cosinus 17.03.2011 21:19
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

stormy acher 18.03.2011 10:06
Hallo Arne,

ich hänge die Logfiles von OTL als Zip an.
Danke das du dir die Mühe machst!:bussi:

Gruß Ecki

cosinus 18.03.2011 13:10
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
SRV - (IDriverT) --  File not found
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:F03100C4DBB793F1
@Alternate Data Stream - 24 bytes -> C:\Dokumente und Einstellungen\Ecki\Anwendungsdaten\.DiffLogX_V102:AFP_AfpInfo
@Alternate Data Stream - 118 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 111 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:AF4CCAAD
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

stormy acher 18.03.2011 14:55
Hallo Arne,
ich habe deine Anweisungen befolgt. OTL hat "gearbeitet", Kasperski hat nachgefragt wie mit den Veränderungen durch OTL verfahren werden soll. Ich habe diese erlaubt.
Dann fuhr der Rechner herunter und startet neu. Es gab sofort eine Fehlermeldung, die besagt das der Ordner OTL nicht gefunden wird. Ich habe sie bestätigt und danach ist XP normal ausgeführt worden.
Aber der Ordner OTL ist weg. Gelöscht, Houdini?

was jetzt?

Gruß Ecki

cosinus 18.03.2011 14:59
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

stormy acher 18.03.2011 19:36
Hallo Arne,

ich habe CCleaner nach Anleitung durchgeführt. Danach Combofix ausgeführt, uns na toll den Virenscanner angelassen. Der hat natürlich gemeckert, aber ich habe großzügig erlaubt. Dann hat Combofix auch losgelegt, die Wiederherstellungskonsole installiert( XP Home, obwohl ich XP Prof habe) und dann analysiert. Gute 45 Minuten, dann habe ich abgebrochen. Neustart, Virenprogramm aus und Combofix nochmal gestartet.
Nach 1,5 Stunden habe ich auch diesen Versuch unterbrochen. Da passiert scheinbar nix. Ich habe eine Ledanzeige die bei CPU- Nutzung ein wenig die Farbe ändert. Tut sie aber nicht, deshalb nehme ich an das da nichts analysiert wird. Oder wie lang soll so ein Scan dauern?

Gruß Ecki

cosinus 18.03.2011 21:18
Mach es bitte nochmal, aber richtig!
Und Geduld musst du auch mitbringen. Alternative: Format c: + Neuinstalltion von Windows


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19