|
Hallo Julian, hier ist, nach log.txt nun der Inhalt von info.txt aus dem RSIT-Lauf: Logfile of random's system information tool 1.06 (written by random/random) Run by GerdG at 2010-04-11 00:04:30 Microsoft Windows XP Professional Service Pack 2 System drive C: has 32 GB (21%) free of 152 GB Total RAM: 2046 MB (81% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:04:31, on 11.04.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe C:\WINDOWS\Explorer.EXE C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ehome\ehtray.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Toshiba\Windows Utilities\Hotkey.exe C:\Programme\Synaptics\SynTP\Toshiba.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AT&T Global Network Client\NetCfgSv.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Dokumente und Einstellungen\GerdG\Desktop\RSIT.exe C:\Programme\trend micro\GerdG.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O1 - Hosts: ÿþ127.0.0.1 localhost O1 - Hosts: ::1 localhost O1 - Hosts: ÿþ127.0.0.1 localhost O1 - Hosts: ::1 localhost O1 - Hosts: 74.125.45.100 4-open-davinci.com O1 - Hosts: 74.125.45.100 securitysoftwarepayments.com O1 - Hosts: 74.125.45.100 privatesecuredpayments.com O1 - Hosts: 74.125.45.100 secure.privatesecuredpayments.com O1 - Hosts: 74.125.45.100 getantivirusplusnow.com O1 - Hosts: 74.125.45.100 secure-plus-payments.com O1 - Hosts: 74.125.45.100 www.getantivirusplusnow.com O1 - Hosts: 74.125.45.100 www.secure-plus-payments.com O1 - Hosts: 74.125.45.100 www.getavplusnow.com O1 - Hosts: 74.125.45.100 safebrowsing-cache.google.com O1 - Hosts: 74.125.45.100 urs.microsoft.com O1 - Hosts: 74.125.45.100 www.securesoftwarebill.com O1 - Hosts: 74.125.45.100 secure.paysecuresystem.com O1 - Hosts: 74.125.45.100 paysoftbillsolution.com O1 - Hosts: 74.125.45.100 protected.maxisoftwaremart.com O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NetSP - restore settings on power failure] "C:\Programme\AT&T Global Network Client\NetSP.exe" -show O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} (Cisco AnyConnect VPN Client Web Control) - https://myoffice.eu.goodyear.com/CACHE/stc/1/binaries/vpnweb.cab O16 - DPF: {7E0FDFBB-87D4-43A1-9AD4-41F0EA8AFF7B} (Net6Launcher Class) - https://vpn.uniorg.de/net6helper.cab O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - C:\Programme\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Update Service (gupdate1ca2561f5e70476) (gupdate1ca2561f5e70476) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\Programme\AT&T Global Network Client\NetCfgSv.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point VPN-1 Securemote watchdog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 9570 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Google Software Updater.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}] Octh Class - C:\Programme\Orbitdownloader\orbitcth.dll [2008-03-20 187512] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2005-09-23 63136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}] DriveLetterAccess - C:\WINDOWS\System32\DLA\DLASHX_W.DLL [2005-10-06 110652] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll [2009-08-25 761840] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "ehTray"=C:\WINDOWS\ehome\ehtray.exe [2005-08-05 64512] "nwiz"=nwiz.exe /installquiet [] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-01-30 13594624] "High Definition Audio Property Page Shortcut"=C:\WINDOWS\system32\CHDAudPropShortcut.exe [2005-12-29 61952] "SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-03-03 761948] "Toshiba Hotkey Utility"=C:\Programme\Toshiba\Windows Utilities\Hotkey.exe [2006-03-15 1769472] "NDSTray.exe"=NDSTray.exe [] "SmoothView"=C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe [2005-05-13 118784] "DLA"=C:\WINDOWS\System32\DLA\DLACTRLW.EXE [2005-10-06 122940] "CFSServ.exe"=CFSServ.exe -NoClient [] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-09-06 413696] "SSBkgdUpdate"=C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2003-10-14 155648] "PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2004-03-09 57393] "IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [2004-03-09 40960] "ControlCenter2.0"=C:\Programme\Brother\ControlCenter2\brctrcen.exe [2005-01-07 864256] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-10 15360] "TOSCDSPD"=C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe [2005-04-12 65536] "MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208] "NetSP - restore settings on power failure"=C:\Programme\AT&T Global Network Client\NetSP.exe [2006-10-09 24576] "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-08-25 39408] "EA Core"=C:\Programme\Electronic Arts\EADM\Core.exe -silent [] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico C:\Dokumente und Einstellungen\GerdG\Startmenü\Programme\Autostart Microsoft Office OneNote 2003 Schnellstart.lnk - C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ckpNotify] C:\WINDOWS\system32\ckpNotify.dll [2008-06-18 24692] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] C:\WINDOWS\system32\igfxdev.dll [2005-11-04 135168] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=0 "NoDispCPL"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme "EnableLUA"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\Programme\AT&T Global Network Client\NetClient.exe"="C:\Programme\AT&T Global Network Client\NetClient.exe:*:Enabled:Network access client" "C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe"="C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe:LocalSubNet:Enabled:Magix UPnP Service" "C:\Programme\Orbitdownloader\orbitdm.exe"="C:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit" "C:\Programme\Orbitdownloader\orbitnet.exe"="C:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit" "C:\Dokumente und Einstellungen\GerdG\Eigene Dateien\My Virtual Machines\CitrixSAClient.exe"="C:\Dokumente und Einstellungen\GerdG\Eigene Dateien\My Virtual Machines\CitrixSAClient.exe:*:Enabled:Citrix Secure Access Client" "C:\Programme\NET6\net6vpn.exe"="C:\Programme\NET6\net6vpn.exe:*:Enabled:Citrix Secure Access Client" "C:\Programme\Spiele\SinsSolarEmpire\Sins of a Solar Empire.exe"="C:\Programme\Spiele\SinsSolarEmpire\Sins of a Solar Empire.exe:*:Enabled:Sins of a Solar Empire" "C:\Programme\Toshiba\ConfigFree\CFXFER.exe"="C:\Programme\Toshiba\ConfigFree\CFXFER.exe:*:Disabled:ConfigFree SUMMIT Engine" "C:\Programme\Spiele\MoC\Warhammer.exe"="C:\Programme\Spiele\MoC\Warhammer.exe:*:Enabled:Warhammer®: Mark of Chaos™" "C:\Programme\CheckPoint\SecuRemote\bin\SR_SERVICE.EXE"="C:\Programme\CheckPoint\SecuRemote\bin\SR_SERVICE.EXE:*:Enabled:VPN-1 SecuRemote/SecureClient service" "C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.EXE"="C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.EXE:*:Enabled:VPN-1 SecuRemote/SecureClient application" "C:\Programme\CheckPoint\SecuRemote\bin\SCC.EXE"="C:\Programme\CheckPoint\SecuRemote\bin\SCC.EXE:*:Enabled:VPN-1 SecuRemote/SecureClient command line" "C:\Programme\CheckPoint\SecuRemote\bin\SR_SDS.EXE"="C:\Programme\CheckPoint\SecuRemote\bin\SR_SDS.EXE:*:Enabled:VPN-1 SecuRemote/SecureClient SDS agent" "C:\Programme\CheckPoint\SecuRemote\bin\SR_DIAGNOSTICS.EXE"="C:\Programme\CheckPoint\SecuRemote\bin\SR_DIAGNOSTICS.EXE:*:Enabled:VPN-1 SecuRemote/SecureClient diagnostics" "C:\Programme\Spiele\Electronic Arts\EADM\Core.exe"="C:\Programme\Spiele\Electronic Arts\EADM\Core.exe:*:Enabled:EA Download Manager" "C:\Programme\Dragon Age\bin_ship\daorigins.exe"="C:\Programme\Dragon Age\bin_ship\daorigins.exe:*:Enabled:Dragon Age Origins -Spiel" "C:\Programme\Dragon Age\DAOriginsLauncher.exe"="C:\Programme\Dragon Age\DAOriginsLauncher.exe:*:Enabled:Dragon Age Origins -Launcher" "C:\Programme\Dragon Age\bin_ship\daupdatersvc.service.exe"="C:\Programme\Dragon Age\bin_ship\daupdatersvc.service.exe:*:Enabled:Dragon Age Origins -Inhaltsupdater" "C:\Programme\Dragon Age\bin_ship\EACoreServer.exe"="C:\Programme\Dragon Age\bin_ship\EACoreServer.exe:*:Enabled:EA Core Server Application" "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ec69010\SGec69.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ec69010\SGec69.exe:*:Enabled:Security Guard" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\CheckPoint\SecuRemote\bin\SR_SERVICE.EXE"="C:\Programme\CheckPoint\SecuRemote\bin\SR_SERVICE.EXE:*:Enabled:VPN-1 SecuRemote/SecureClient service" "C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.EXE"="C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.EXE:*:Enabled:VPN-1 SecuRemote/SecureClient application" "C:\Programme\CheckPoint\SecuRemote\bin\SCC.EXE"="C:\Programme\CheckPoint\SecuRemote\bin\SCC.EXE:*:Enabled:VPN-1 SecuRemote/SecureClient command line" "C:\Programme\CheckPoint\SecuRemote\bin\SR_SDS.EXE"="C:\Programme\CheckPoint\SecuRemote\bin\SR_SDS.EXE:*:Enabled:VPN-1 SecuRemote/SecureClient SDS agent" "C:\Programme\CheckPoint\SecuRemote\bin\SR_DIAGNOSTICS.EXE"="C:\Programme\CheckPoint\SecuRemote\bin\SR_DIAGNOSTICS.EXE:*:Enabled:VPN-1 SecuRemote/SecureClient diagnostics" ======List of files/folders created in the last 1 months====== 2010-04-10 20:00:58 ----D---- C:\Programme\trend micro 2010-04-10 20:00:57 ----D---- C:\rsit 2010-04-09 23:52:01 ----D---- C:\Dokumente und Einstellungen\GerdG\Anwendungsdaten\Malwarebytes 2010-04-09 23:51:42 ----D---- C:\Programme\Malwarebytes 2010-04-09 23:51:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-04-08 17:43:21 ----D---- C:\_OTL 2010-04-08 03:04:46 ----A---- C:\OTL.Txt 2010-04-05 16:44:36 ----SHD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SGYGWD.vir 2010-04-05 16:44:13 ----SHD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ec69010.vir 2010-04-02 12:00:58 ----N---- C:\WINDOWS\system32\browserchoice.exe 2010-04-01 19:19:03 ----HDC---- C:\WINDOWS\$NtUninstallKB980182$ ======List of files/folders modified in the last 1 months====== 2010-04-10 23:57:15 ----D---- C:\WINDOWS\Prefetch 2010-04-10 21:44:41 ----SD---- C:\WINDOWS\Tasks 2010-04-10 20:07:24 ----D---- C:\WINDOWS\Temp 2010-04-10 20:07:24 ----D---- C:\WINDOWS\system32 2010-04-10 20:07:20 ----A---- C:\WINDOWS\brwmark.ini 2010-04-10 20:00:58 ----RD---- C:\Programme 2010-04-10 19:05:40 ----D---- C:\WINDOWS 2010-04-10 19:04:52 ----D---- C:\WINDOWS\Registration 2010-04-10 19:04:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware 2010-04-10 04:04:37 ----SHD---- C:\RECYCLER 2010-04-10 01:51:22 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-04-10 01:50:34 ----D---- C:\WINDOWS\system32\drivers 2010-04-05 10:32:43 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2010-04-04 12:55:11 ----D---- C:\Programme\Mozilla Firefox 2010-04-02 14:14:12 ----HD---- C:\WINDOWS\inf 2010-04-02 14:14:07 ----D---- C:\WINDOWS\system32\CatRoot2 2010-04-01 19:19:16 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-04-01 19:19:15 ----D---- C:\Programme\Internet Explorer 2010-03-31 15:55:48 ----D---- C:\VM_IRAS 2010-03-31 15:55:48 ----D---- C:\Dokumente und Einstellungen\GerdG\Anwendungsdaten\VMware 2010-03-31 12:19:59 ----HD---- C:\WINDOWS\$hf_mig$ 2010-03-19 00:19:42 ----SHD---- C:\WINDOWS\Installer ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 DLACDBHM;DLACDBHM; C:\WINDOWS\System32\Drivers\DLACDBHM.SYS [2005-08-25 5628] R1 DLARTL_N;DLARTL_N; C:\WINDOWS\System32\Drivers\DLARTL_N.SYS [2005-08-25 22684] R1 FW1;SecuRemote Miniport; C:\WINDOWS\system32\DRIVERS\fw.sys [2008-06-18 2235760] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-10 40192] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848] R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2004-08-04 8832] R2 agnwifi;AT&T Wi-Fi Support Driver; C:\WINDOWS\system32\DRIVERS\agnwifi.sys [2004-04-29 19328] R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2007-11-24 278984] R2 CP_OMDRV;Check Point Office Mode Module; C:\WINDOWS\System32\drivers\omdrv.sys [2008-06-18 47504] R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys [] R2 DLABOIOM;DLABOIOM; C:\WINDOWS\System32\DLA\DLABOIOM.SYS [2005-10-06 25628] R2 DLADResN;DLADResN; C:\WINDOWS\System32\DLA\DLADResN.SYS [2005-10-06 2496] R2 DLAIFS_M;DLAIFS_M; C:\WINDOWS\System32\DLA\DLAIFS_M.SYS [2005-10-06 86524] R2 DLAOPIOM;DLAOPIOM; C:\WINDOWS\System32\DLA\DLAOPIOM.SYS [2005-10-06 14684] R2 DLAPoolM;DLAPoolM; C:\WINDOWS\System32\DLA\DLAPoolM.SYS [2005-10-06 6364] R2 DLAUDF_M;DLAUDF_M; C:\WINDOWS\System32\DLA\DLAUDF_M.SYS [2005-10-06 87036] R2 DLAUDFAM;DLAUDFAM; C:\WINDOWS\System32\DLA\DLAUDFAM.SYS [2005-10-06 94332] R2 DRVNDDM;DRVNDDM; C:\WINDOWS\System32\Drivers\DRVNDDM.SYS [2005-08-12 40544] R2 hcmon;VMware hcmon; \??\C:\WINDOWS\system32\Drivers\hcmon.sys [] R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2007-11-24 25416] R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2005-10-06 12544] R2 Netdevio;TOSHIBA Network Device Usermode I/O Protocol; C:\WINDOWS\system32\DRIVERS\netdevio.sys [2003-01-29 12032] R2 VMnetBridge;VMware Bridge Protocol; C:\WINDOWS\system32\DRIVERS\vmnetbridge.sys [2006-11-13 30256] R2 VMnetuserif;VMware Network Application Interface; \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys [] R2 vmx86;VMware vmx86; \??\C:\WINDOWS\system32\Drivers\vmx86.sys [] R2 VNASC;Check Point Virtual Network Adapter - SecureClient; C:\WINDOWS\system32\DRIVERS\vnasc.sys [2008-06-18 121136] R2 VPN-1;VPN-1 Module; C:\WINDOWS\System32\drivers\vpn.sys [2008-06-18 673872] R2 vstor2;Vstor2 Virtual Storage Driver; \??\C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vstor2.sys [] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-10 60800] R3 AVMCOWAN;AVMCOWAN; C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2003-11-19 53120] R3 BoiHwsetup;Access 32bits INT15 routine; C:\WINDOWS\system32\drivers\BoiHwSetup.sys [2005-06-11 5504] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080] R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2007-01-31 127376] R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e1e5132.sys [2005-09-15 179200] R3 HdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\CHDAud.sys [2005-12-29 561664] R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-11-09 997376] R3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys [2005-11-09 202240] R3 Iviaspi;IVI ASPI Shell; C:\WINDOWS\system32\drivers\iviaspi.sys [2003-09-11 21060] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 Net6IM;Net6; C:\WINDOWS\system32\DRIVERS\net6im51.sys [2007-11-05 46448] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-10 61824] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-01-30 6250848] R3 Pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2003-09-19 10368] R3 qkbfiltr;Quanta HotKey Keyboard Filter Driver; C:\WINDOWS\system32\drivers\qkbfiltr.sys [2006-01-12 31872] R3 qmofiltr;Quanta HotKey Mouse Filter Driver; C:\WINDOWS\system32\drivers\qmofiltr.sys [2005-05-05 7936] R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2004-08-10 67584] R3 StillCam;Treiber für serielle Digitalkamera; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-18 7040] R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-03-03 191968] R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2005-11-30 162560] R3 tosrfec;Bluetooth ACPI from TOSHIBA; C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 9344] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480] R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-11-09 723712] R3 X10Hid;X10 Hid Device; C:\WINDOWS\System32\Drivers\x10hid.sys [2005-11-28 7040] S2 MLPTDR_B;MLPTDR_B; \??\C:\WINDOWS\system32\MLPTDR_B.sys [] S3 agnfilt;AGN Filter Interface; C:\WINDOWS\system32\DRIVERS\agnfilt.sys [2006-05-19 180864] S3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568] S3 avpnnic;AGN Virtual Network Adapter; C:\WINDOWS\system32\DRIVERS\avpnnic.sys [2003-04-04 13952] S3 BrScnUsb;Brother USB Still Image driver; C:\WINDOWS\System32\Drivers\BrScnUsb.sys [2004-10-15 15295] S3 BrSerIf;Brother MFC Serial Port Interface WDM Driver; C:\WINDOWS\System32\Drivers\BrSerIf.sys [2006-01-18 53248] S3 BrUsbSer;Brother MFC USB Serial WDM Driver; C:\WINDOWS\System32\Drivers\BrUsbSer.sys [2006-01-19 11904] S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275] S3 fxusbase;FRITZ!X ISDN; C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2003-11-19 547840] S3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-11-04 1353820] S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008] S3 Ser2pl;Prolific Serial port driver; C:\WINDOWS\system32\DRIVERS\ser2pl.sys [2002-04-09 39552] S3 SMCB000;SMSC CIR HID Miniport Device Driver; C:\WINDOWS\system32\DRIVERS\hidsmsc.sys [2006-01-17 15744] S3 UIUSys;Conexant Setup API; C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS [] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856] S3 VMnetAdapter;VMware Virtual Ethernet Adapter Driver; C:\WINDOWS\system32\DRIVERS\vmnetadapter.sys [2006-11-13 16560] S3 vpnva;Cisco AnyConnect VPN Virtual Miniport Adapter for Windows; C:\WINDOWS\system32\DRIVERS\vpnva.sys [2008-12-11 20152] S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys [] S3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver; C:\WINDOWS\system32\DRIVERS\w39n51.sys [2005-12-05 1428096] S3 Wdm1;USB Bridge Cable Driver; C:\WINDOWS\System32\Drivers\usbbc.sys [2001-01-08 15576] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 CFSvcs;ConfigFree Service; C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe [2005-01-18 40960] R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2007-04-03 1516584] R2 ehRecvr;Media Center Receiver Service; C:\WINDOWS\eHome\ehRecvr.exe [2005-10-11 237568] R2 ehSched;Media Center-Planerdienst; C:\WINDOWS\eHome\ehSched.exe [2005-08-05 102912] R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328] R2 NetCfgSvr;Network Configuration Service; C:\Programme\AT&T Global Network Client\NetCfgSv.EXE [2006-10-09 323584] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-01-30 168004] R2 SR_Service;Check Point VPN-1 Securemote service; C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe [2008-06-18 106613] R2 SR_WatchDog;Check Point VPN-1 Securemote watchdog; C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe [2008-06-18 36982] R2 VMAuthdService;VMware Authorization Service; C:\Programme\VMware\VMware Player\vmware-authd.exe [2006-11-13 224048] R2 VMnetDHCP;VMware DHCP Service; C:\WINDOWS\system32\vmnetdhcp.exe [2006-11-13 113456] R2 vmount2;VMware Virtual Mount Manager Extended; C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe [2006-11-13 269104] R2 VMware NAT Service;VMware NAT Service; C:\WINDOWS\system32\vmnat.exe [2006-11-13 142128] R2 vpnagent;Cisco AnyConnect VPN Agent; C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [2008-12-11 417464] R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480] S2 gupdate1ca2561f5e70476;Google Update Service (gupdate1ca2561f5e70476); C:\Programme\Google\Update\GoogleUpdate.exe [2009-08-25 133104] S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-25 194032] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 DAUpdaterSvc;Dragon Age: Origins - Inhaltsupdater; C:\Programme\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [2009-07-26 25832] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2004-08-10 14336] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 UPnPService;UPnPService; C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-10 14336] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- |
Hi Julian, mir ist gerade aufgefallen, dass der File log.txt aus dem 2. erfolgreichen Lauf von RSIT ist, während info.txt knapp 20 Minuten jünger ist, also vermutlich aus dem ersten fehlgeschlagenen Lauf stammt, den habe ich ich erst um diese Zeit zu Ende laufen lassen, vorher hatte ich ihn auf der fehlermeldung bzgl. Schreibschutz stahen lassen, habe diese Meldung erst zu diesem Zeitpunkt mit 'OK' quittiert. |
Zitat:
da hab ich wieder mal nicht richtig hingeschaut. sorry! Der gepostete Info.txt ist aktuell, lediglich der im Verzeichnis C:\RSIT ist der alte. |
*reinhüpf* :D Ich mach mal weiter. Öffne die Datei c:\windows\system32\drivers\etc\hosts bitte mit Notepad und lösch alles bis auf diese Zeile: 127.0.0.1 localhost (den Standardtext kannste auch drin lassen, alles unterhalb der erwähnten Zeile nur wegmachen) und abspeichern. Danach mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: folders to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken |
Hallo Arne, ich frag vorsichtshalber noch mal nach. Bei mir im Editor sehe ich nur eine lange Zeile mit gaaanz vielen Zeichen, die der Editor nicht anzeigen kann. Hier in der von mir geposteten Version sehe ich das ganze mehrzeilig, da kommt hinter dem 1. Vorkommen von 'localhost' noch ein Zeichen und dann geht es in der nächsten Zeile weiter. Ich vermute, dieses Zeichen steht für Zeilenende, muss das mit gelöscht werden oder stehen bleiben? Lösche ich im Editor also alle Zeichen direkt hinter dem letzten 't' von 'localhost' oder beginne ich mit dem Löschen erst ein Zeichen weiter? |
Hallo Arne, ich habe mal direkt hinter dem letzten 't' alles gelöscht, mir aber natürlich vorher eine Sicherungskopie gemacht. Danach hab ich den Avenger nach deiner Beschreibung laufen lassen, hier ist das Logfile: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ec69010.vir" deleted successfully. Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SGYGWD.vir" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Hi Arne, hier ist der Link zum backup.zip des Avengers: hxxp://www.file-upload.net/download-2427588/backup.zip.html |
Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo Arne, ich habe gerade gelesen, dass die SuperAntiSpyware einen Restart im abgesicherten Modus machen will. Das ging ja zuletzt bei mir nicht, habe es allerdings noch nicht wieder versucht. Ich werde heute Abend, wenn ich wieder zu Hause bin, als erstes testen, ob das wieder geht. Falls das aber nicht funktioniert, wie soll ich dann weiter vorgehen? SuperAntiSpyware scheint da ja lt. eurer Beschreibung auch irgendwas bzgl. des Bootvorgangs zu reparieren, habt ihr Erfahrung, ob das reicht? Schönen Tag noch, Gerd |
Lass den erstmal nur Scannen aber noch nichts entfernen. Poste das Log. |
Hallo Arne, habe gerade nochmal den Malwarebyte-Full-Scan laufen lassen, der hat noch eine infizierte Datei gefunden (s. nachfolgendes Log), die habe ich gleich entfernen lassen. Als nächstes mach ich den Scan-Lauf von SuperAntiSpyware und poste das Log-File. Bis nachher. Hier das aktuelle Log-File von MBAM: Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 3982 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 12.04.2010 20:52:15 mbam-log-2010-04-12 (20-52-15).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 211151 Laufzeit: 54 Minute(n), 53 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP421\A0055847.sys (Rootkit.Agent) -> Quarantined and deleted successfully. |
Der letzte Fund war "nur" noch in der Systemwiederherstellung... |
Hallo Arne, hier ist das Log-File von SuperAntiSpyware, ich hab aber nur die ersten paar der gefundenen 293 Cookies in der Liste gelassen, die sind ja nicht an meinem Problem schuld! Ach ja, hab ich ganz vergessen eben zu erwähnen: Mein abgesicherter Modus bricht immer noch beim Start mit Bluescreen ab !!! Hier das Log-File: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 04/12/2010 at 10:53 PM Application Version : 4.35.1002 Core Rules Database Version : 4795 Trace Rules Database Version: 2607 Scan type : Complete Scan Total Scan Time : 01:38:32 Memory items scanned : 592 Memory threats detected : 0 Registry items scanned : 6616 Registry threats detected : 0 File items scanned : 105649 File threats detected : 297 Adware.Tracking Cookie C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@stats.outdoorseiten[2].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@e-2dj6wgkoeocjggp.stats.esomniture[2].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@stat.onestat[2].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@e-2dj6wglouidpmfp.stats.esomniture[2].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@e-2dj6wfkianc5ico.stats.esomniture[1].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@atdmt[1].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@adserver.71i[1].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@4stats[2].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@yahoode[1].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@e-2dj6wjmigmazohp.stats.esomniture[2].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@apmebf[2].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@ad.bauerverlag[1].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@doubleclick[2].txt C:\Dokumente und Einstellungen\GerdG\Cookies\GerdG@unitymedia[2].txt ............................... usw ............................................................. Trojan.Agent/Gen-Nullo[Short] C:\SYSTEM VOLUME INFORMATION\_RESTORE{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP420\A0055798.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP420\A0055799.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP420\A0055800.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{DD0FF237-AD14-4090-B42A-4C4F2C77CAA7}\RP420\A0055801.EXE |
SASW hat "nur" Cookies und was in der Systemwiederherstellung gefunden. Die kannst Du deaktivieren... Zitat:
|
Ja, der normale Modus funktioniert, aber man weiss ja nie, ob man den abgesicherten Modus nicht doch mal braucht. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board