![]() |
Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an Hallo, ich bin mir nicht ganz sicher was einen PC (Win7 64bit, uptodate, Hostname: Sandbox) plagt. Es ist AntiVir 2015 installiert und findet bei einem Scan nichts aussergewöhnliches. Vermeldet aber immer wieder in regelmässigen Abständen, dass der Zugriff auf die Registry blockiert wurde. Details gibt es keine. Also habe ich HijackThis und Malwarebytes drüber laufen lassen: Beides zeigt nichts an. Im Windows Log werde ich allerdings fündig: Ereignis 3001, LoadPerf Code: Das Ereignis wird nicht richtig angezeigt, da der zugrunde liegende XML-Code nicht wohlgeformt ist. Nachstehend finden Sie den reinen Text des Ereignisses. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\007] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\009] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\currentversion] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\007] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\009] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\currentversion] Die jeweiligen Reg_Multi_Sz Keys mit dem Namen "Counter" sind gefüllt mit teils deutschen, aber vorwiegend asiatischen oder kryptischen Zeichen. Bei einem anderen PC waren die Einträge nur in Deutsch, somit verdichten sich die Indizien, dass dort der Wurm drin steckt. Die Einträge kann ich leider nicht im laufenden Betrieb überschreiben. Leider weiss ich auch nicht für was die "Counter" zuständig sind. Ein kurzes Beispiel was da drin steht möchte ich dennoch hier lassen: Code: 㧼㨜㨤㨬㨼㩈㩨㩴㪔㪜㪤㪰㫐㫘㫬㫸㬀㬘㬠㬨㬸㭀㭈㭐㭘㭠㭨㭰㭸㮀㮈㮐㮘㮠㮨㮰㮸㯈㯐㯘㯠㯬㯴㰘㰬㰼㱄㱌㱔㱬㱴㱼㲌㲔㲜㲤㲰㲸㳜㳰㴈㴐㴘㴰㴸㵀㵈㵜㵤㵬㵴㵸㶀㶔㶤㶸㷀㷜㷤㸄㸘㸠㸼㹄㹠㺀㺈㺐㺘㺠㺨㺰㺸㻀㻈㻐㻘㻠㻨㻰㻸㼀㼈㼔㼴㽀㽨㾌㾘㾠㿀㿤㿰㿸ꀀǴ Vielen Dank im Voraus! |
hi, Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: ![]() (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Hallo schrauber bei der frst.txt ist mir direkt etwas aufgefallen. In den Files im letzten Monat bearbeitet tauchen diese hier auf: 2015-03-18 17:09 - 2010-11-21 08:50 - 00698688 _____ () C:\Windows\system32\perfh007.dat 2015-03-18 17:09 - 2010-11-21 08:50 - 00148828 _____ () C:\Windows\system32\perfc007.dat Klingt ziemlich nach der preflib und die 007 kam auch in der Registry vor. Vielleicht Zufall, vielleicht auch nicht. Anmerkung, diese Files sind von mir (export und Sicherung): 2015-04-10 15:40 - 2015-04-10 15:40 - 00069632 _____ () C:\Users\Admin\Documents\china.evtx 2015-04-10 15:39 - 2015-04-10 15:39 - 17263248 _____ () C:\Users\Admin\Documents\preflib.reg 2015-04-10 15:38 - 2015-04-10 15:38 - 17265000 _____ () C:\Users\Admin\Documents\preflib_x64.reg FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-03-2015 --- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 11-03-2015 Die Festplatte hat meistens einen Schreibschutz aktiv, der durch die Software "RebootRestore" (Link zum Hersteller) ermöglicht wird. Damit eben getestete Änderungen nicht übernommen werden, aber für bestimmte Sachen wird der Schutz hin und wieder deaktiviert. Der PC ist zwar nur eine Sandbox und ich habe ein Image zur Hand, aber mich würde es dennoch interessieren, ob eines der Programme dafür verantwortlich ist, weil dann bringt mir das Image auch nichts auf lange Sicht. Danke vielmals! |
hi, Scan mit Combofix
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board