|
TR/Vundo verursacht all diese Probleme ??? abend alle miteinander, erst einmal auf ein gutes miteinander ich möchte auch nun direkt mein problem schildern und hoffe kompetente hilfe zu bekommen: Hardware: Laptop HP DV9 Betriebssystem: Vista Home Premium vor 2 tagen fing es an, mein internet explorer öffnete sich nicht mehr. fehler meldung: fehler in anwedung.. die anweisung in blaablaa verweist auf speicher blaablaa... klicken sie auf ok um das programm zu beenden. ok dacht ich mir, kümmere mich später drum, und auf firefox ausgewichen. nun ist es so, dass wenn ich bei google einen suchbegriff eingeben möchte, öffnen sich prompt andere seiten.... mein kaspersky internet security 2009 öffnet sich nicht mehr. ich kann auf die microsoft website nicht zugreifen... habe dann anti vir laufen lassen und der hat dann den TR/Vundo.gen trojaner gefunden und laut anti-vir gelöscht. aber noch immer habe ich die probleme, die ich erwähnt habe habe soebend hijackthis laufen lassen und...naja, würdet ihr bitte mal ein blick drauf werfen ?? ich bin echt ratlos.... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:52:05, on 17.02.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\System32\rundll32.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\system32\taskeng.exe C:\Program Files\DNA\btdna.exe C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TY...vilion&pf=cnnb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TY...vilion&pf=cnnb R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TY...vilion&pf=cnnb R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{093F665E-8AA2-45E7-B6D7-A20304F058D0}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\..\{B17297F0-60DF-4DC8-A7ED-9D8A05DF7313}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS1\Services\Tcpip\..\{093F665E-8AA2-45E7-B6D7-A20304F058D0}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk. dll O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\aestsrv.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe O23 - Service: Recovery Service for Windows - Unknown owner - C:\Windows\SMINST\BLService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\STacSV.exe O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Service.exe -- End of file - 9754 bytes ich danke im vorraus und hoffe auf hilfe stoßen zukönnen.... beste grüsse, isabella |
Hallo Isabella In deinem Rechner ist eine Umleitung auf einen ukrainischen Server Die IP ´s 85.255.112.39,85.255.112.40 weisen in die Ukraine. Also ab sofort kein Online Banking mehr. Ich hatte vor einigen Tagen die gleichen Probleme, mit der tatkräftigen Unterstützung des Teams hier haben wirs aber wieder hinbekommen. Wahrscheinlich hast du dir einen sigenannten Trojan.DNSChanger eingefangen, der zeitgleich mit einem Rootkit in dein System gelang ist. Aber erst mal keine Panik. Checken wir das erst mal von Anfang an. geh mal in deine Netzwerkverbindung ( mit dem du ins Internet gehst ) und suche den Eintrag TCP/IP. Klicke einmal darauf und dann auf Eigenschaften. Ganz unten solltest du dann DNS Server automatisch beziehen sehen. Falls nicht und die IPs dort zu sehen sind melde dich nochmal, dann haben wir wahrscheinlich einen Virus in deinem System. Hast di ein Antiviren Programm auf deinem Rechner? Wenn ja welches ? Hab übrigens Nachtdienst kann dir ein wenig helfen |
Zitat:
yuhuuu, hilfe für mich :) vielen dank erstmal... also... IPv4 Standartgateway: 192.168.1.1 IPv4 DHCP Server: 192.168.1.1 IPv4DNS Server: 85.255.112.39 85.255.112.40 für gewöhnlich benutze ich Kaspersky internet security 2009, aber dieses öffnet sich nicht mehr seit ein paar tagen. nun hab ich anti-vir free version geladen und der hat den TR/Vundo.gen gefunden und laut angaben "gelöscht". kommt mir aber nicht so vor :confused: |
Das sind nicht die Einträge die ich meine, aber die IP´s in die Ukraine sind da. Nochmal zur Absicherung: Geh bitte zurück und auf START Systemsteuerung Netzwerk- und Internetverbindungen Netzwerkverbindungen Hierauf dann einen Rechtsklick und Eigenschaften anklicken. Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. Hierauf auch einen Rechtsklick und Eigenschaften aufrufen. Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP drücke hier einmal mit der linken Maustaste drau und dann auf Eigenschaften. Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern ( die oben ) eingetragen? |
Zitat:
da sind ip's eingetragen, sprich; NICHT automatisch beziehen.... das heisst nichts gutes, ne ??:( |
Leider nein, dein System ist kompromitiert: Bitte lest hierzu Technische Kompromittierung - Definition und entspr. Handlung Du solltest dein System neu aufsetzen:http://www.trojaner-board.de/51262-a...sicherung.html Wie schon gesagt es handelt sich mit an Sicherheit grenzender Wahrscheinlichkeit um einen Trojan.DNSChanger der sich mittels Rootkit eingeschlichen hat. Erklärung Rootkit: Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Vermutlich hat dein Virenscanner deshalb nicht gemeckert. Die 017 Eintrage in deinem Hijack sind der Hinweis auf einen DNS Changer Fall du jedoch diese Hinweise aus dringenden Gründen mißachten musst, können wir versuchen dein System zu retten. Es wird einige Zeit in Anspruch nehmen, vorab solltest du deine Systemwiederherstellung abschalten und alle Wiederherstellungspunkte löschen ( mit Ja antworten ) Anschließend melden, Du verstehst hoffentlich das ich keine Garantie übernehmen kann wenns schiefgeht, ich gehe mit dir die Schritte durch die meinem System geholfen haben. Bitte unternehme nichts selbstständig mfg Klaus |
Zitat:
ich hab so verdammt viele wichtige dokumente auf meinem rechner... ich habe eine systemwiederherstellungs datei vom 17.02.09 entdeckt. mir wäre es lieber, hier zu hocken und alles zu versuchen um den dreck entfernt zukriegen, statt alles neu aufzuspielen :heulen: |
OK versuchen wirs, man ist ja nicht umsonst Freund und Helfer Schalte nun deine Systemwiederherstellung ab und lösche somit alle Wiederherstellungspunkte |
Zitat:
so, wurde deaktiviert & gelöscht... |
Lade und installiere folgende Programme: Avenger http://swandog46.geekstogo.com/avenger2/download.php Gmer http://www.gmer.net/gmer.zip CCleaner Anleitung: CCleaner http://www.trojaner-board.de/51464-a...-ccleaner.html<- dl link in der Anleitung Malwarebyte Anleitung: Malwarebytes Anti-Malware http://www.trojaner-board.de/51187-a...i-malware.html <- dl link in der Anleitung runter. Nur Laden und installieren, aber noch nichts machen. Schaut insbesondere in die Erklärungen zu den Programmen ( in diesem Board )lese sie aufmerksam durch. Wenn erledigt, lass nochmal Hijack this laufen und lösche alle 017 Einträge. Sprich kleine Box anklicken und fixen Anschließend zurück in die Eigenschaften deiner TCP/IP verbindung und auf automatisch beziehen klicken. Reboot und schau anschließend nach, ob die Einträge noch da sind oder ob die Verbindung auf automatisch stehen bleibt Gehen wir auf die Jagd ........:snyper: |
Bin gleich wieder da, für den Fall das du vorher online bist....Lass den Malwarebyte auf Full scan laufen und lasse alle Funde löschen |
Zitat:
so...danke ersteinmal :)) 1. systemwiederherstellung deaktiviert & gelöscht 2. hijackthis rennen lassen und alle 017er einträge gelösct (insgesammt 5) 3. DNS auf automatisch beziehen eingestellt. 4. alle programme gedownloadet 5. lappy neugestartet 6. HIER IST DAS PROBLEM, ich komme von lappy aus nicht mehr in das internet. weder w-lan, noch direkt vom modem !!! habe zum glück noch ein entertainment pc im wohnzimmer zustehen, mit dem ich gerade direkt vom modem online bin. hier kann ich online kommen, aber vom laptop aus nicht, auf dem selbem wege. wie soll ich weiter vorgehen ??? |
Hast du Malwarebyte bereits installiert? |
Zitat:
hi, ja, nach all den schritten, habe ich malware vom usb stick in den lappy schmuggeln können. läuft bereits seit 30 min. und hat 8 infizierte datein gefunden. er sucht noch immer. das ding ist, als ich am lappy die datei downloaden wollte, wurde ich auf eine seite, die sich filepony nennt geleitet um es von da zu downloaden. kam mir sehr spanisch vor, also hab ich es vom pc gedownloaded und siehe da, gleicher link, aber andere website.....sehhhr komisch...:confused: |
Wenn ja, lass es laufen und lasse alle Einträge löschen die es möglicherweise findet. Ich brauche jetzt eine Zeit um nach Hause zu kommen, logge mich dann wieder ein um nachzuschauen....melde mich dann bei dir. Wir müssen uns dann nochmal deine Netzwerkeinstellungen ansehen Bis später |
Zitat:
kommt direkt in meine favouriten liste :) |
Bin wieder da....Tasse Kaffe und ne Zigi und weiter gehts. Gibts was Neues? Übrigens, bei mir wars genauso, ich bin auch nicht mehr online gekommen. Mein IE 7 ging gar nicht mehr auf, musste auch mit Laptop und Stick arbeiten. Wir haben deinem Laptop jetzt erst mal die Gelegenheit genommen ins Internet zu schlüpfen. Ich habe daraufhin den IE 7 neu installiert. Download hier: h**p://www.microsoft.com/germany/windows/downloads/ie/getitnow.mspx Aber soweit sind wir erst noch nicht. Poste mal das Log von Malwarebyte hier und CHECKE deine DNS Einstellungen nochmals. Ist es auf "automatisch beziehen stehengeblieben? |
Zitat:
mit dem kaffee hast du mich auf eine fantastische idee gebracht, denn ich brauche unbedingt welchen....die zigi brennt sowieo schon :) nach dem neustart vorhin, waren die DNS einträge wieder normal, sprich auf "automatisch beziehen". habe dann wie gesagt MBAM installiert und der rennt immernoch durch mein system wie ne rakete aber immernoch bei 8 files. in 1stunde und 33 mins. etwas komisch mit dem IE7, da ich bevor ich MBAM gestartet habe, den IE7 zum testen mal öffnen wollte....er ging wieder an ?!?!?!..seltsam, echt..! nochmals vieeelen vielen dank !!!! :knuddel: |
Hast du zwischendurch mal rebootet? Kann sein, ich hab immer einen Adressfehler bekommen und dann ging gar nichts mehr. Aber warten wir mal ab was dein MB File sagt... |
Zitat:
Windows-Hostprozess (Rundll32) funktioniert nicht mehr.... blablaa programm schließen habe schiss auf schließen zurücken, weil ich denke, dass sich dann MBAM auch schließt, wobei er ja immernoch sucht....ist nicht stecken geblieben oder so....aber diese meldung, sagt die was aus ? |
rundll32.dll befindet sich im Ordner C:\Windows\System32 Die Datei kann das Verhalten anderer Programme ändern oder diese gezielt manipulieren. Also keine Bange lass einfach laufen und ignoriere die Meldung. Lass MB seine Arbeit zu Ende bringen, es geht nichts kaputt Mist zu schnell auf antworten gedrückt: Zusatz: Rundll32 ist eine ausführbare Programmdateien im Verzeichnis System32 des Windows-Ordners. Mit Hilfe von rundll32 können bestimmte Funktionen aus den Programmbibliotheken (DLL - Dynamic Link Library) von Microsoft- Windows ausgeführt werden. Das Betriebssystem selbst nutzt diese Funktionen, wenn beispielsweise Windows heruntergefahren werden soll, u.a. Ist wie ein Anlasser im Auto, dann läuft der Motor. Windows bedient sich dieser dll um entsprechende Windows Funktionen auszuführen. Ist meines Wissens nach nicht von Microsoft. |
Zitat:
ok, wunderbar.... ich geh dann mal kurz zum bäcker hier unten und hol mir mein espresso ab :) |
Soooooooooooo.... MBAM ist zu ende und hat es gefunden: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1749 Windows 6.0.6001 Service Pack 1 17.02.2009 08:05:37 mbam-log-2009-02-17 (08-05-18).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 253441 Laufzeit: 2 hour(s), 18 minute(s), 50 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 4 Infizierte Dateien: 26 Infizierte Speicherprozesse: C:\Program Files\POL\POL.exe (Keylogger.Ardamax) -> No action taken. Infizierte Speichermodule: C:\Program Files\POL\POL.006 (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\POL.007 (Keylogger.Ardamax) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\freshplay (Trojan.DNSChanger) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\freshplay (Trojan.DNSChanger) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\freshplay (Trojan.DNSChanger) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pol agent (Keylogger.Ardamax) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken. Infizierte Verzeichnisse: C:\Program Files\POL (Keylogger.Ardamax) -> No action taken. C:\Users\Sinora™\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\freshplay (Trojan.DNSChanger) -> No action taken. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\freshplay (Trojan.DNSChanger) -> No action taken. C:\Program Files\freshplay (Trojan.DNSChanger) -> No action taken. Infizierte Dateien: C:\Program Files\POL\POL.exe (Keylogger.Ardamax) -> No action taken. C:\Program Files\freshplay\Uninstall.exe (Trojan.FakeAlert) -> No action taken. C:\Program Files\POL\AKV.exe (Keylogger.Ardamax) -> No action taken. C:\Users\Sinora™\AppData\Local\codecsetup6394.exe (Trojan.FakeAlert) -> No action taken. C:\Users\Sinora™\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9CD4MVAE\CodecSetup_ver1.1[1].exe (Trojan.FakeAlert) -> No action taken. C:\Program Files\POL\akv.cfg (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\key.bin (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\menu.gif (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\POL.001 (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\POL.002 (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\POL.003 (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\POL.004 (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\POL.005 (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\POL.006 (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\POL.007 (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\POL.009 (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\POL.chm (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\qs.html (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\tray.gif (Keylogger.Ardamax) -> No action taken. C:\Program Files\POL\Uninstall.exe (Keylogger.Ardamax) -> No action taken. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\freshplay\Uninstall.lnk (Trojan.DNSChanger) -> No action taken. C:\autorun.inf (Trojan.Agent) -> No action taken. C:\RECYCLER\S-1-2-93-100029513-100013229-100007108-7768.com (Trojan.Agent) -> No action taken. C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken. C:\Windows\System32\gaopdxhhppncbk.dll (Trojan.Agent) -> No action taken. C:\Windows\System32\drivers\gaopdxrombxdux.sys (Trojan.Agent) -> No action taken. Der ARDAMAX Keylogger ist BEWUSST installiert und hat mir seit 5 monaten NIE probleme bereitet, da er von der offiziellen website erworben worden ist. aber der rest, der hat's in sich, ne ?? so, nun alle löschen ??:) |
so, nun aber ans eingemachte jetzt den CCleaner hinterher, aber bitte nach Vorschrift Dann erst gehts weiter...Lass MB seine Arbeit zu Ende tun vorher |
Hallo Redwulf, hallo isabella, ward ja richtig fleißig heute Nacht :aplaus: Wir sollten jetzt aber noch nach Rootkits suchen. Malwarebytes hat einen Datei (die wichtigste) vom Trojan.Agent nicht gefunden! Also mal bitte Gmer runterladen und laufen lassen - Logfile posten. Grüße 45cl3p1u5 |
Guten Morgen wir sind grad dabei, lass jetzt Cclener laufen und mal sehen was sie dann reportet, dann gehts weiter mit Gmer.... Hab übrigens noch einen Poster per PM hier, die hat anscheinend ein richtiges problem. Malwarebyte und Gmer laufen bei ihr nicht. kannst du da mal nen Blick reinwerfen? h**p://www.trojaner-board.de/70079-trojaner-fakealert-legt-meinen-pc-lahm.html Weil da weiss ich ehrlich gesagt nicht weiter, gleiche symptome |
hii, so, MBAM ist fertig und hat laut eigenen angaben alles vernichtet. nun öffnete sich auch kaspersky ganz von alleine und wollte eine installation ausführen, aber näääh, nicht jetze :) soll ich den CCleaner im abgesicherten modus laufen lassen oder im normalen modus ?? |
Lass im normalen Modus, die Hälfte ist geschafft, solange bereinigen lassen bis das keine Fehler mehr angezeigt werden |
Zitat:
habe ccleaner rennen lassen und solange alles gelöscht, bis nun nichts mehr kam, genauso mit der registry...auch da ist nichts mehr zu finden. und nun ?? bin ich geheilt ???? :):) |
nun Gmer - siehe vorheriger Post |
Noch lange nicht Isabella. Lass Gmer laufen und poste das Log, dann gehts weiter.......mach hinne.so langsam bau ich ab nach dem Nachtdienst :singsing: |
Zitat:
der gmer läuft grad noch, und sobald der fertig is, sind die log daten auch gleich online...:) ich danke euch vielmals....seid echt klasse ! |
*Rot werd´* |
gmer hat folgendes ausgespuckt: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-02-17 09:46:09 Windows 6.0.6001 Service Pack 1 ---- System - GMER 1.0.14 ---- SSDT 9D847924 ZwCreateThread SSDT 9D847910 ZwOpenProcess SSDT 9D847915 ZwOpenThread SSDT 9D84791F ZwTerminateProcess SSDT 9D84791A ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- .text ntkrnlpa.exe!KeSetTimerEx + 454 82EECA18 4 Bytes [ 24, 79, 84, 9D ] .text ntkrnlpa.exe!KeSetTimerEx + 624 82EECBE8 4 Bytes [ 10, 79, 84, 9D ] .text ntkrnlpa.exe!KeSetTimerEx + 640 82EECC04 4 Bytes [ 15, 79, 84, 9D ] .text ntkrnlpa.exe!KeSetTimerEx + 854 82EECE18 4 Bytes [ 1F, 79, 84, 9D ] .text ntkrnlpa.exe!KeSetTimerEx + 8B4 82EECE78 4 Bytes [ 1A, 79, 84, 9D ] ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) ---- Threads - GMER 1.0.14 ---- Thread 4:360 884E5170 Thread 4:364 88596650 Thread 4:368 8858C660 Thread 4:372 88596650 Thread 4:376 885C7E70 Thread 4:380 885C7E70 Thread 4:384 885C7E70 ---- Services - GMER 1.0.14 ---- Service system32\drivers\gaopdxrombxdux.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002186312a38 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrombxdux.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@userdata -1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrombxdux.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxhhppncbk.dll Reg HKLM\SYSTEM\ControlSet022\Services\BTHPORT\Parameters\Keys\002186312a38 Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrombxdux.sys Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@userdata -1 Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrombxdux.sys Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxhhppncbk.dll Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Users\Sinora\x2122\AppData\Roaming\Microsoft\IdentityCRL\production\ppcrlconfig.dll 2 Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\PartyPokerSetup.exe 1 Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\vlc-0.9.6-win32.exe 1 Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3IAWED10\PartyPokerSetup[1].exe 1 Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\BSLITEINSTALL525.exe 1 Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\setup_akl.exe 1 Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\okey+v2.1-kur.exe 1 Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\FamilyKeyLogger-setup.exe 1 Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0G0QYES6\setup_akl[1].exe 1 Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\vlc-0.9.8a-win32.exe 1 ---- EOF - GMER 1.0.14 ---- warte auf anweisungen...:) |
Moment.....bring schon mal Avenger an den Start |
Zitat:
wo und wie soll ich den starten ??? |
Ist dein Pad zu Windows der? C:\Windows Avenger einfach auf den Desktop und doppelt ankklicken |
Zitat:
avenger ist nun aufm desktop und wird ausgeführt PS: Die logfile von gmer da eifügen nehm ich an ? |
So, da bin ich wieder! @Redwulf: musste ja gerade was ausprobieren, wusstest Du ja ;-) - Avenger starten - folgenden Code eingeben Code: Drivers to delete:Grüße 45cl3p1u5 |
NEIN!!!!!!!!! Avenger aufrufen und das nachfolgende Script kopieren und in das Scriptfeld pasten: Code: Drivers to delete:- klicke auf "Execute" - klicke auf "Yes" -> der Rechner startet neu; Nicht erschrecken, booted mehrfach, wird wild..... - poste den Inhalt der Datei "C:\avenger.txt Zu langsam, aber doppelt hält ja bekanntlich länger........ |
*grins* Zitat:
|
*grins.. der lappy bootet nun mehrmals....logfile folgt im nächsten post |
Zitat:
darf ich dich bitten mit dem anderen Post in verbindung zu treten? Hatte Nachtdienst und fall gleich um |
Zitat:
|
so meine herren, logfile: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "gaopdxserv.sys" deleted successfully. Error: file "C:\Windows\System32\drivers\gaopdxrombxdux.sys" not found! Deletion of file "C:\Windows\System32\drivers\gaopdxrombxdux.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\System32\gaopdxhhppncbk.dll" not found! Deletion of file "C:\Windows\System32\gaopdxhhppncbk.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. ....warte auf anweisungen :) |
hat sich da ein Leerzeichen eingeschlichen? |
nee, alles in Ordung die anderen Dateien hat Malwarebytes platt gemacht |
Zitat:
|
dann jetzt bitte nochmal folgende Liste abarbeiten Zitat:
|
Nein, nein Kopiere einfach was in der Box steht und füge das in die Scriptbox ein mach nochmal würde ich sagen und poste nochmal, bin gespannt was der Mitstreiter sagt Ups ignorieren.......war wieder zu langsam |
Zitat:
nach dem dies erledigt ist, soll ich dann wieder mit CCleaner alles löschen, sowie die registry ? danach nochmals MBAM laufen lassen ?? |
avenger hat funktioniert !!! |
Zitat:
|
supi....habe vorsichtshalber nohmal den avanger laufen lassen und die logfile sagt...das keine von den dateien gefunden werden kann, was für mich heisst, WEG ! :) CCleaner ist auch jetzt mehr mals durch und nun rennt der MBAM durch mein lappy... log folgt im nächsten post... |
Sieht sehr gut aus Isabella, check mal deine PM |
...und das war der Übeltäter: C:\Program Files\freshplay Jetzt wo ich ihn sehe.......Doppelt geklickt und gewundert das da nur uninstall stand? :uglyhammer: |
@45cl3p1u5 Vermissen wir nicht den Rootkit ? Bei mir wars der Rootkit.12519 Eventuell nochmal den Kaspersky updaten und vollen Systemscan ? |
hey ihr lieben, aktuell läuft noch der MBAM...seit 30 min. und siehe da....0 infizierte objekte bis jetzt :) habe in letzter zeit oft internet abstürze welche durch alice verursacht werden. werde den provider wechseln, das ist sicher !!! mein pm fach lässt sich nicht öffnen ?!?!?!?!?! ich komme bis zur PM und genau wo die sich öffnet, kommt ein ladefehler....:( ich sollte echt die finger von pc's und co. lassen, hehe.. |
ich schreib dir nochmals oben rechts private nachrichten |
@Redwulf: habe doch "gaopdxserv.sys" erwischt! |
Stimmt, hatten wir auch bei mir und nach der ganzen Aktion, sprich update von Bitdefender eleminierte der noch den Rootkit |
soo.... MBAM = keine infizierten objekte... nun die hijackthis logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:24:38, on 17.02.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\conime.exe C:\Windows\System32\rundll32.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Users\Sinora™\Program Files\DNA\btdna.exe C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Windows\System32\mobsync.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\taskeng.exe C:\Program Files\Hewlett-Packard\SDP\RemEngine.exe C:\Program Files\Hewlett-Packard\SDP\RemEngine.exe C:\Program Files\Hewlett-Packard\SDP\RemEngine.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Pavilion&pf=cnnb R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\Sinora™\Program Files\DNA\btdna.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe O13 - Gopher Prefix: O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\aestsrv.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe O23 - Service: Recovery Service for Windows - Unknown owner - C:\Windows\SMINST\BLService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\STacSV.exe O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Service.exe -- End of file - 9709 bytes UND HIER die uninstall_list: 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) Activation Assistant for the 2007 Microsoft Office suites Adobe Anchor Service CS3 Adobe Asset Services CS3 Adobe Bridge CS3 Adobe Bridge Start Meeting Adobe Camera Raw 4.0 Adobe CMaps Adobe Color - Photoshop Specific Adobe Color Common Settings Adobe Color EU Recommended Settings Adobe Color JA Extra Settings Adobe Color NA Extra Settings Adobe Default Language CS3 Adobe Device Central CS3 Adobe ExtendScript Toolkit 2 Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Adobe Fonts All Adobe Help Viewer CS3 Adobe Linguistics CS3 Adobe PDF Library Files Adobe Photoshop CS3 Adobe Photoshop CS3 Adobe Reader 8.1.2 - Deutsch Adobe Setup Adobe Shockwave Player Adobe Stock Photos CS3 Adobe Type Support Adobe Update Manager CS3 Adobe Version Cue CS3 Client Adobe WinSoft Linguistics Plugin Adobe XMP Panels CS3 Avery Wizard 3.1 Avira AntiVir Personal - Free Antivirus BearShare Broadcom 802.11-WLAN-Adapter Canon iP4500 series CCleaner (remove only) Choice Guard Compatibility Pack für 2007 Office System CorelDRAW Graphics Suite X4 CorelDRAW Graphics Suite X4 - Capture CorelDRAW Graphics Suite X4 - Content CorelDRAW Graphics Suite X4 - Draw CorelDRAW Graphics Suite X4 - Filters CorelDRAW Graphics Suite X4 - FontNav CorelDRAW Graphics SUite X4 - ICA CorelDRAW Graphics Suite X4 - IPM CorelDRAW Graphics Suite X4 - Lang DE CorelDRAW Graphics Suite X4 - PP CorelDRAW Graphics Suite X4 - VBA CorelDRAW(R) Graphics Suite X4 CorelDRAW(R) Graphics Suite X4 - Windows Shell Extension CorelDRAW(R) Graphics Suite X4 - Windows Shell Extension CyberLink DVD Suite CyberLink YouCam CyberLink YouCam DivX Codec DivX Converter DivX Player DivX Web Player ESU for Microsoft Vista FL Studio 8 Hewlett-Packard Active Check for Health Check Hewlett-Packard Asset Agent for Health Check HijackThis 2.0.2 Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) HP Active Support Library HP Doc Viewer HP Quick Launch Buttons 6.40 D1 HP QuickPlay 3.7 HP QuickTouch 1.00 D2 HP Total Care Advisor HP Update HP User Guides 0103 HP Wireless Assistant HPNetworkAssistant IDT Audio IL Download Manager Java(TM) 6 Update 11 Java(TM) 6 Update 6 Java(TM) 6 Update 7 JMicron JMB38X Flash Media Controller KaloMa 4.75 Kaspersky Internet Security 2009 Kaspersky Internet Security 2009 LabelPrint LightScribe System Software 1.12.33.2 Malwarebytes' Anti-Malware Messenger Plus! Live Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 SP1 Microsoft Office Excel MUI (German) 2007 Microsoft Office Home and Student 2007 Microsoft Office Home and Student 2007 Microsoft Office OneNote MUI (German) 2007 Microsoft Office PowerPoint MUI (German) 2007 Microsoft Office PowerPoint Viewer 2007 (German) Microsoft Office Proof (English) 2007 Microsoft Office Proof (French) 2007 Microsoft Office Proof (German) 2007 Microsoft Office Proof (Italian) 2007 Microsoft Office Proofing (German) 2007 Microsoft Office Shared MUI (German) 2007 Microsoft Office Word MUI (German) 2007 Microsoft Visual C++ 2005 Redistributable Microsoft Works Mozilla Firefox (3.0.6) MSVCRT MSXML 4.0 SP2 (KB954430) My HP Games Nero 8 neroxml NVIDIA Drivers OpenOffice.org Installer 1.0 PartyPoker PDF Settings PoiZone PokerStars.net Power2Go PowerDirector ProtectSmart Hard Drive Protection QuickPlay SlingPlayer 0.4.6 Real-Draw PRO 5.2.3 Realtek 8169 8168 8101E 8102E Ethernet Driver Revo Uninstaller 1.80 Security Update for 2007 Microsoft Office System (KB951550) Security Update for 2007 Microsoft Office System (KB951944) Security Update for 2007 Microsoft Office System (KB958439) Security Update for Microsoft Office Excel 2007 (KB958437) Security Update for Microsoft Office OneNote 2007 (KB950130) Security Update for Microsoft Office PowerPoint 2007 (KB951338) Security Update for Microsoft Office system 2007 (KB954326) Security Update for Microsoft Office system 2007 (KB956828) Security Update for Microsoft Office Word 2007 (KB956358) Synaptics Pointing Device Driver TeamViewer 3 Toxic Biohazard Update for Microsoft Office Excel 2007 Help (KB957242) Update for Office 2007 (KB946691) Viewpoint Media Player VLC media player 0.9.6 Windows Installer Clean Up Windows Live Anmelde-Assistent Windows Live Call Windows Live Communications Platform Windows Live Essentials Windows Live Essentials Windows Live Messenger Windows Live-Uploadtool WinRAR ist mein lappy nun wieder jungfrau ?? sprich; sauber oder ....noch dreckig ? hehe :) |
Ich würd sagen SAUBER...Mir haben ihn erwischt und an die Wand genagelt. Übrigens viele deiner Programme befinden sich auch auf meinem Rechner :) Mir fällt nichts mehr auf, ausser die alten Versionen von Java zu deinstallieren und das neue Java 6 update 12 zu installieren. Ansonsten alles easy. Klappts mit dem IE 7 wieder? Alle updates von kasperky? Check nach update mit Kaspersky alles durch. Wenn sonst nix mehr ist ist dein System wieder OK.... COWABUNGA!!! jetzt bin ich müd |
Zitat:
ich melde mich später bei dir ;) ich check kurz alles durch ob alles geht....wenn ja...dann...hehe super...ich meld mich :) |
Machs gut...war mir eine Freude, danke nochmals an 45cl3p1u5 Klasse Mentor.......... |
ich schließe mich Redwulf an. eine Anmerkung habe ich noch: entscheide Dich für ein Virenprogramm. Den Rest bitte deinstallieren. Grüße und bleib sauber 45cl3p1u5 @Redwulf: Danke für die Blumen! |
so, mein IE7 funktioniert wieder, kaspersky öffnet sich wieder von selbst...scheint alles okay zu sein, nur ich krieg keine verbindung mit dem internet hin :S w-lan verbindet sich ncith mit dem router "verbindungs aufbau dauert ungewöhnlich lange" und direkt vom modem, bezieht der lappy ebenfalls keine ip's und so... habe nun vom router die ip's und dns server kopiert....haben die sachen hier was schlechtes zu bedeuten ???? WAN MAC Address: 00-1D-0F-E4-F5-1F IP Address: 85.178.135.219 PPPoE Subnet Mask: 255.255.255.255 Default Gateway: 85.178.135.219 DNS Server: 62.109.123.6 , 213.191.92.87 Online Time: 0 day(s) 00:08:46 ist auf pppoe eingestellt |
nee, ist normal, aber schön, dass Du in Berlin (Kreuzberg?) wohnst! Ganz in meiner Nähe. wie sind den die Interneteinstellungen auf deinem Computer? |
und hast du beim router dhcp aktiviert oder statische IPs vergeben? Welche Verschlüsselung hast Du gewählt: die müssen beim Router und auf den Laptop gleich sein. |
Zitat:
*grinnsss... hab wohl zuviel verraten... naja, wie sollen sie sein..?! frag mich was genaueres und ich gebe dir direkte antworten :) also was ich bemerkt habe, wenn ich per kabel (modem>laptop) reingehen möchte, bezieht der lappy nicht mal netzwerkinformationen. da steht nur "LAN AKTIV" im netzwerkvebindungen ordner, sonst kein zeichen in der taskleiste, kein symbol, nichts... :S benutze vista home premium x86 edit: dhcp ist aktiv und WEP verschlüsselung ebenso....war ja 3 monate lang so aktiv....ich war hier zuhause im laptop online....mein bruder war unten im laden von seinem lappy online...und der pc ihm wohnzimmer war gleichzeitig online...gabs nie probleme... nur halt nach dieser scheisse jetzt hier funktioniert das i net an meinem lappy nicht :( |
log dich mal in den router ein und schau, ob du irgendwas findest, wo "dhcp" steht. |
Zitat:
sry, war zu lahm.... bitte nochmal meinen post lesen :) |
Zitat:
Hi Isabella Schau doch nochmal in die Ordner C:\Windows\system32\drivers und c:\Windows\system32 nach ob du noch files darin hast die mit gaopd beginnen. Mein Zugang war ar***lahm als ich den Mist beseitigt hatte, in meinem war ein gaopdcounter übriggeblieben, den ich per Hand löschen musste. Danach funzte es wieder gut. Falls nicht, ist es nur noch eine Einstellungssache. Ich hab auch so meine Probleme mit dem WLAN Netz und Laptop, und ich vergebe dann immer einen neuen Schlüssel und lass den Lappy nach dem Netzwerk suchen. Wiederhole die Anmeldeprozedur und dann sollte es funzen. Ach ja, die Verbindung musst du dann auch noch auf deinem PC erneuern. Wenn alles wieder ok ist, stell deine Systemwiederherstellung wieder an, hab ich vergessen gestern zu erwähnen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board