Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 31.08.2009, 19:26   #1
ZoSar
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



Mooin.

Ich habe seit kurzem ein Problem beim updaten und Internetverbindungen die von bestimmten Programmen ausgehen. Ein Clicker Trojaner hat sich durch meinen AVG geschummelt. --> AVG deinstalliert und Bitdefender IS 2010 installiert, weil Lizenz ausgelaufen...

Sodele... nun kann ich aber weder für Bitdefender Updates ziehen, es wird mir immer ein Fehler ausgegeben (invalid server or proxy settings), noch kann sich irgendein anderes Programm ins Netz einwählen. Ich kann weder den Internet Explorer neu installieren (weil das installprogramm ja automatisch ins internet geht), noch für spybot search & destroy updates ziehen etc pp.

Kurzum: Alle Programme die irgendwas aus dem Netz updaten werden durch irgendwas geblockt.

Programme wie HijackThis oder Spybot lassen sich zwar downloaden und installieren. Gehen aber entweder garnicht, oder das Hauptfenster kann nicht geöffnet werden...


weiss da jemand rat?
danke schonmal im voraus

Alt 31.08.2009, 20:21   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



Hallo und

Probier mal mit dieser umbenannten Hijackthis.exe eine Logfile zu erstellen.
__________________

__________________

Alt 01.09.2009, 11:52   #3
ZoSar
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



ja super klasse. das hat funktioniert.

hier nun mein LOG:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:29, on 01.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\wpcumi.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\X10Receiver.NET\X10Receiver.NET.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\ObjectDock\ObjectDock.exe
C:\Program Files\Virtual Desktops\Virtual Desktops.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Browser & IM\Trillian\trillian.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\program files\audio\winamp\winamp.exe
C:\Program Files\Audio\CD Art Display\CAD.exe
C:\Program Files\Audio\Last.fm\LastFM.exe
C:\Program Files\Browser & IM\Mozilla Firefox\firefox.exe
C:\Windows\System32\mobsync.exe
C:\Users\Ranarion\Downloads\pruefung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.mi***soft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.mi***soft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.mi***soft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mi***soft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKLM\..\RunOnce: [B Register C:\Program Files\Video\DivX\DivX Plus DirectShow Filters\DivXDecH264.ax] "C:\Windows\system32\rundll32.exe" "C:\Program Files\Video\DivX\DivX Plus DirectShow Filters\DivXDecH264.ax",DllRegisterServer
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [X10Receiver.NET] C:\Program Files\X10Receiver.NET\X10Receiver.NET.exe -dontshow
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Object Dock (2).lnk = C:\Program Files\ObjectDock\ObjectDock.exe
O4 - Startup: Object Dock.lnk = C:\Program Files\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Browser & IM\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Browser & IM\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pa***software.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://do***oad.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fp***nload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS1\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS4\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS5\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. BitDefender AntiVirus | Virenscanner | AntiSpam | Firewall Software| Data Security - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Burn & Mount\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Program Files\Burn & Mount\Virtual CD v9\System\vc9secs.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 11598 bytes
__________________

Alt 02.09.2009, 09:53   #4
Redwulf
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



Guten Morgen ZoSar

Ich antworte hier erst mal vorweg und hoffe meinem Vorredner nicht ins Gehege zu kommen.

Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert und zwar vermutlich von einem Trojan.DNSChanger mit entsprechendem Rootkit.<--

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar...

Dein gesamter Datenverkehr wird auf einen ukrainischen Server umgeleitet.
Diese Einträge hier sind mir gut bekannt:
Code:
ATTFilter
O17 - HKLM\System\CCS\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS1\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS4\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS5\Services\Tcpip\..\{33C1F737-455B-4616-BB55-FDC4860A3E5B}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
         
Das ist übrigens der Server von dem wir reden. Wohlgemerkt nur der Server, der Betreiber weiss wahrscheinlich gar nicht was hier vor sich geht: (oder wills nicht wissen )
Code:
ATTFilter
organisation:    ORG-UL25-RIPE
org-name:        UkrTeleGroup Ltd.
org-type:        LIR
address:         UkrTeleGroup Ltd.
                    65029 Odessa
                    Ukraine
phone:           +3804++++++++ edit
fax-no:          +3804++++++++ edit
mnt-ref:         UKRTELE-MNT
mnt-ref:         RIPE-NCC-HM-MNT
mnt-by:          RIPE-NCC-HM-MNT
source:          RIPE # Filtered
         
DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst.


Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden.....

Code:
ATTFilter
Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!
Download von Avenger 
Download von Malwarebytes Anleitung:  Malwarebytes Anti-Malware  <--- dl Linkin der Erklärung LESEN !!!
Download von Gmer 
Download von MBR.exe
         
Für Vista User: Du alle Programme als Administrator ausführen ( Rechtsklick )

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Checken wir das Ganze erst mal von Anfang an. Da es sich vermutlich um einen DNS Changer handelt, müssen wir zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor:

Code:
ATTFilter
Geh bitte auf START
Systemsteuerung
Netzwerk- und Internetverbindungen
Netzwerkverbindungen
Hierauf dann einen Rechtsklick und Eigenschaften anklicken. 
Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. 
Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.
         
Für Vista:
In die Netzwerkkontrolle gelangst du so
Code:
ATTFilter
- Windows-Taste + “R” drücken
- Eingabe des Befehles “%windir%/system32/ncpa.cpl“
- Enter drücken oder “OK” bestätigen
         
Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen?
Dein System sollte die DNS eigentlich automatisch beziehen. Falls dies nicht der Fall ist, indiziert dies einen Befall mit einem DNS Changer..

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Für Vista

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Für Vista User


Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen
Gehts immer noch nicht, gehe zu Punkt 6.

Punkt 6.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um

Weiteres kommt dann nach diesem Logfile ...
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 03.09.2009, 02:51   #5
ZoSar
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



soooooo, endlich geschafft

Also meine Programme können auf jeden fall schon wieder aufs netz zugreifen... aber nach der reihe:


als allererstes erstmal vieeeeeelen lieben dank für die sehr detallierte beschreibung... wow... der hammer, da fühlt man sich auf dem board doch direkt willkommen...

so nun zum wesentlichen:

CCleaner zeigt beim normalen Scan nichts mehr an, bei der Registry immer zwei einträge:
Zitat:
ActiveX/COM Fehler LocalServer32\"%ProgramFiles%\Internet Explorer\iexplore.exe" -startmediumtab HKCR\CLSID\{D5E8041D-920F-45e9-B8FB-B1DEB82C6E5E}
Öffne mit Anwendung Problem "C:\Program Files\Internet Explorer\iexplore.exe" %1 HKCR\Applications\iexplore.exe\shell\open
zweites kann wie gesagt sein, weil ich keinen i-net explorer mehr aufm rechner hab.


Die erste Avenger Log zeigte folgendes:

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "MSIVXserv.sys" found!
ImagePath: \systemroot\system32\drivers\MSIVXfopdjuxwrbptqmepwtooxisttuvixvln.sys
Driver disabled successfully.

Rootkit scan completed.


Completed script processing.

*******************

Finished! Terminate.
Beim zweiten Scan zeigte Avenger nichts meh an. Also keine Fehler gefunden.

Malwarebytes Log:

Zitat:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551
Windows 6.0.6001 Service Pack 1

02.09.2009 19:20:47
mbam-log-2009-09-02 (19-20-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 546441
Laufzeit: 2 hour(s), 55 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 7
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\ColdWare (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{33c1f737-455b-4616-bb55-fdc4860a3e5b}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{33c1f737-455b-4616-bb55-fdc4860a3e5b}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{33c1f737-455b-4616-bb55-fdc4860a3e5b}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.

Infizierte Verzeichnisse:
C:\Windows\System32\drivers\downld (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> No action taken.
C:\Windows\System32\MSIVXcount (Trojan.Agent) -> No action taken.
C:\Windows\System32\MSIVXbbedpncdiwivyaidwcvhvekkhxakiadt.dll (Trojan.Agent) -> No action taken.
Bei GMER hatte ich 3x einen Bluescreen, dann habe ich alle ersten Tests nochmal gemacht und dann lief es endlich durch. Gab mir aber keine Gelegenheit die Logfile zu sichern, da neu gestartet wurde um updates (windows) zu installieren.
GMER hat meines Erachtens aber auch nur 2 Fehler gefunden (findet er auch immernoch). Ganz am Anfang des Tests vor dem eigentlichen Scan. Das waren auch die einzigen beiden Roten Pfade nach dem kompletten Scan:

Zitat:
GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit quick scan 2009-09-03 03:49:40
Windows 6.0.6001 Service Pack 1


---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs C33241F8

AttachedDevice \Driver\tdx \Device\Tcp bdftdif.sys
AttachedDevice \Driver\tdx \Device\Udp bdftdif.sys

---- Services - GMER 1.0.15 ----

Service system32\drivers\MSIVXfopdjuxwrbptqmepwtooxisttuvixvln.sys (*** hidden *** ) [DISABLED] MSIVXserv.sys <-- ROOTKIT !!!
Service C:\Windows\System32\Drivers\VDRV9000.SYS (*** hidden *** ) [SYSTEM] vdrv9000 <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----
MBR gab folgendes aus:

Zitat:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK




Ich hoffe das hilft Euch weiter...


Alt 03.09.2009, 03:05   #6
Redwulf
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



Au weiha

Ich hab aber nicht gesagt dass du den Avenger auch benutzen solltest.
Code:
ATTFilter
....herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen
         
Nun schaun wir mal wie wir durch den Salat hier durchkommen. In der Tat hast du einen Rootkit und diverse Treiber dieses rootkits die aktiv sind.

Malwarebytes hat einiges erwischt, aber eben nicht alles. Ich denke die rootkits sind noch immer vorhanden. Zur Zeit habe ich Nachtdiesnt und kann dir von hier leider nicht helfen. Ich mache das wenn ich wieder zu Hause bin..

Die CCleaner Mecker bezüglich IExplorer ist ok so, da du IE nicht mehr installiert hast.

Ich hoffe, dass du bei der Arbeit mit dem Rechner die Punkte 1 und 2 auch befolgt hast, ansonsten können wir nochmals von vorne beginnen.

Also wenn ich zu Hause bin werde ich mich noch mal an den Rechner setzten und dann ein kleines Script für dich schreiben welches du dann mit dem Avenger einsetzen wirst.

Falls du noch Zeit hast würde ich gerne nochmals GMER versuchen. Bitte benenne GMER vorher in HUPS.exe um und versuchs dann nochmal. Einige Viren versuchen die Ausführung solcher Programme wie GMER zu unterbinden.

Bitte poste das GMER Log Vollständig hier, ich muss die Einträge sehen. Falls es nicht mehr geht versuche ich es mit den Infos die du bisher geliefert hast. Aber bitte unternehme nichts mehr im Voraus

Bis später....
__________________
--> Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht

Geändert von Redwulf (03.09.2009 um 03:22 Uhr)

Alt 03.09.2009, 12:18   #7
Redwulf
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



Weiter gehts, sorry ich war heute morgen einfach zu müde.

Öffne jetzt nochmal den Avenger

Du siehst jetzt ein weißen Scriptfeld.



Kopiere jetzt den Inhalt der Codebox mit Strg +C
Code:
ATTFilter
Drivers to delete:
MSIVXserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\MSIVXfopdjuxwrbptqmepwtooxisttuvixvln.sys 
C:\Windows\System32\Drivers\VDRV9000.SYS
         
und füge das ganze mit Strg + V in dieses Scriptfeld ein.

Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst.

Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken.. Selten, aber möglich bootet Windows Vista in einen Bluescreen. Auch dann kein Grund zur Sorge.

Nach Abschluß dieser Sache bekommst du ein Logfile angezeigt. Poste es bitte hier.

Zu diesem Zeitpunkt ist auch möglich, dass sich dein Antivirenprogramm mit Virenfunden meldet. Lasse diese Viren dann LÖSCHEN, anschließend löscht du die Quarantäne.

Anschließend wirst du das Programm Blacklight ausführen. Reporte das Ergebnis hier.

Weiter geht es dann wieder mit MalwareBytes. Vollziehe einen kompletten Scan, nachdem du ein update getätigigt hast. Auch hier lässt du eventuelle Funde komplett löschen. Quarantäne ebenfalls. Poste das Ergebnis hier.

Jetzt setzt du nochmals CCleaner ein und zeigst mir ein dann ein frisches Hijack this Log.

Dann gehts ans Aufräumen....
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 04.09.2009, 00:45   #8
ZoSar
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



sodele, dann nochmal von vorn.

Sowohl der Ip4, als auch der ip6 TCP/IP stehen beide auf automatischer DNS.



Punkt 1:

is eh egal, weil ich über die Dienste den Volumenschatten und die Volumenschattenkopie auf deaktiviert gesetzt habe.


Punkt 2:

is gemacht.


Punkt 3:

Jap, wie gesagt, es werden nur die beiden IE-Fehler ausgegeben.


Punkt 4:

Zitat:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Punkt 5:

Zitat:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551
Windows 6.0.6001 Service Pack 1

03.09.2009 10:51:23
mbam-log-2009-09-03 (10-51-23).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 534881
Laufzeit: 2 hour(s), 53 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Punkt 6:

GMER hat (umbenannt in huppsala.exe und als administrator ausgeführt) WIEDER einen bluescreen herbeigeführt (und zwar nach ca. 6 Stunden scannen). Der Bluescreen hiess (in etwa, den genauen wortlaut konte ich mir so schnell nicht merken):
Zitat:
data_fault_in_nonpaged_area
odxacakj.sys
Bin mir aber weder in der genauen beschreibung noch dem genauen dateinamen wirklich sicher.



So, dann zu deinem letzten Post:

Avenger hat beim ersten ausführen keine textdatei erzeugt, als ich den gleichen code erneut eingegeben habe und nochmal auf execute gedrückt habe kam folgendes:

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\MSIVXserv.sys" not found!
Deletion of driver "MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\MSIVXfopdjuxwrbptqmepwtooxisttuvixvln.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\MSIVXfopdjuxwrbptqmepwtooxisttuvixvln.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\System32\Drivers\VDRV9000.SYS" not found!
Deletion of file "C:\Windows\System32\Drivers\VDRV9000.SYS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
Mein VIrenprogramm meldete sich bis hierhin nicht.


Blackligt hat nichts gefunden und Malwarebytes danach auch nicht mehr. (habe beide logdateien leider nicht mehr, durch einen absturz meines browsers, druch MEINEN fehler....)

Mein frisches HiJackthis, findest du nun hier:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:44:26, on 04.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\wpcumi.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\X10Receiver.NET\X10Receiver.NET.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\ObjectDock\ObjectDock.exe
C:\Program Files\Virtual Desktops\Virtual Desktops.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Program Files\Download\CryptLoad_1.1.6\CryptLoad.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Browser & IM\Trillian\trillian.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Audio\Last.fm\LastFM.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.exe
C:\program files\audio\winamp\winamp.exe
C:\Program Files\Audio\CD Art Display\CAD.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Browser & IM\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.one.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKLM\..\RunOnce: [B Register C:\Program Files\Video\DivX\DivX Plus DirectShow Filters\DivXDecH264.ax] "C:\Windows\system32\rundll32.exe" "C:\Program Files\Video\DivX\DivX Plus DirectShow Filters\DivXDecH264.ax",DllRegisterServer
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [X10Receiver.NET] C:\Program Files\X10Receiver.NET\X10Receiver.NET.exe -dontshow
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Object Dock (2).lnk = C:\Program Files\ObjectDock\ObjectDock.exe
O4 - Startup: Object Dock.lnk = C:\Program Files\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Browser & IM\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Browser & IM\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Burn & Mount\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Program Files\Burn & Mount\Virtual CD v9\System\vc9secs.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 11258 bytes

Ich danke dir auf jeden Fall schonmal tausend mal bis hierher.
Bin jetzt das Wochenende über mit meiner Band unterwegs und komme am Montag wieder.

beste Grüße und dir ein schönes Wochenende
ZoSar

Alt 04.09.2009, 15:07   #9
Redwulf
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



Ich hoffe du hattest auch ein angenehmes Wochenende.

Aber gehen wir mal weiter in deinem Fall:

Das Verhalten von GMER macht mich etwas nachdenklich. Es ist jedoch auch erklärlich damit, das ggf. ein Treiber von GMER nicht kompatibel mit deinem PC ist. Das passiert manchmal und ist auch nicht unbedingt Grund zur Sorge.

Dennoch möchte ich 100%-ig ausschließen, dass sich noch etwas hinter einem rootkit verbirgt. Deshalb versuchen wir jetzt ein alternatives Programm.

Ich weiss, wir haben Blacklight benutzt, ich weiss jedoch nicht wie aktuell dieses Programm die Bedrohungen erkennt. Ausserdem werden in letzter Zeit so viele Varianten eines Viruses auf den Markt geworfen, dass ich in dieser Hinsicht sicher gehen möchte...

Bitte lade dir hier:

Avira-AntiRootkit Tool: by Sunny

auf den Desktop.

Das Tool entpacken und installieren über die *setup.exe*

Danach das Programm starten und auf *"Start Scan"* klicken

Nach dem Scan auf *"View Report"* klicken, den Text aus dem Editor kopieren (Strg+A -> Strg+C) und im Forum einfügen (Strg+V)

Beispiel:



Gehe zu Sophos
und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

Und jetzt etwas Wichtiges, dass solltest du auf jeden Fall beherzigen:

Alle anderen Scanner gegen Viren, Spyware, usw müssen deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
Bitte poste die Ergebnisse vollständig...
NICHTS am Rechner vornehmen. Bewege keine Maus oder lass irgendwelche Anwendungen im Hintergrund laufen.


Wenn dieser Report dann negativ sein sollte werden wir erst mal aufräumen...
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Geändert von Redwulf (04.09.2009 um 15:37 Uhr)

Alt 07.09.2009, 07:02   #10
ZoSar
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



Na das hoffe ich bei deinem Wochenende doch auch


öhm. Der Download von deinem link ging leider nicht, in der RAR war nur eine Datei und das war keine setup datei die auch nur (gepackt) 65kb groß war. "avirarkd.exe"
Beim ausführen gab es dann den Fehler das ich das Programm installieren müsse.

Kurz geschaut und hier runtergeladen http://www.ch*p.de/downloads/Avira-AntiRootkit-Tool_31144435.html

Installiert und ausgeführt. Gegen Ende warnte mich Bitdefender, dass die Datei (das Programm) ein Virus sein könne. Ich habe den Zugriff allerdings erlaubt und nicht verboten. Hier die Logdatei von Avira:


Zitat:
Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Sonntag, 6. September 2009 - 23:07:38
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 465.76 GB
- Working disk free size : 184.82 GB (39 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden value : HKEY_USERS\S-1-5-21-350281380-233495102-1455855570-1000\Software\SecuROM\License information -> datasecu
Hidden value : HKEY_USERS\S-1-5-21-350281380-233495102-1455855570-1000\Software\SecuROM\License information -> rkeysecu
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version -> version
Value data mismatch : HKEY_LOCAL_MACHINE\Software\Microsoft\WBEM\CIMOM -> autorecover mofs
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag11.00.00.01workstation
Hidden value : HKEY_LOCAL_MACHINE\Software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version -> version
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000\enum
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000\parameters
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000\security
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000 -> servicebinary
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000 -> group
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000 -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000 -> errorcontrol
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000 -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000 -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000 -> tag
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> group
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vdrv9000\enum
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vdrv9000\parameters
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vdrv9000\security
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vdrv9000 -> servicebinary
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vdrv9000 -> group
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vdrv9000 -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vdrv9000 -> errorcontrol
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vdrv9000 -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vdrv9000 -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vdrv9000 -> tag
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MSIVXserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MSIVXserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MSIVXserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MSIVXserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MSIVXserv.sys -> group
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vdrv9000\enum
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vdrv9000\parameters
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vdrv9000\security
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vdrv9000 -> servicebinary
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vdrv9000 -> group
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vdrv9000 -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vdrv9000 -> errorcontrol
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vdrv9000 -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vdrv9000 -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vdrv9000 -> tag
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\MSIVXserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\MSIVXserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\MSIVXserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\MSIVXserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\MSIVXserv.sys -> group
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\vdrv9000\enum
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\vdrv9000\parameters
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\vdrv9000\security
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\vdrv9000 -> servicebinary
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\vdrv9000 -> group
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\vdrv9000 -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\vdrv9000 -> errorcontrol
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\vdrv9000 -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\vdrv9000 -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\vdrv9000 -> tag
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet005\Services\vdrv9000\enum
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet005\Services\vdrv9000\parameters
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet005\Services\vdrv9000\security
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet005\Services\vdrv9000 -> servicebinary
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet005\Services\vdrv9000 -> group
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet005\Services\vdrv9000 -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet005\Services\vdrv9000 -> errorcontrol
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet005\Services\vdrv9000 -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet005\Services\vdrv9000 -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet005\Services\vdrv9000 -> tag

--------------------------------------------------------------------------------------------------------
Files: 0/449796
Registry items: 71/597889
Processes: 0/63
Scan time: 00:19:06
--------------------------------------------------------------------------------------------------------
Active processes:
- lnvfyqbx.exe (PID 2184) (Avira AntiRootkit Tool - Beta)
- ehrecvr.exe (PID 3200)
- svchost.exe (PID 2040)
- ehsched.exe (PID 3816)
- ehrec.exe (PID 3340)
- ehshell.exe (PID 1780)
- System (PID 4)
- smss.exe (PID 440)
- csrss.exe (PID 496)
- wininit.exe (PID 548)
- csrss.exe (PID 568)
- services.exe (PID 600)
- lsass.exe (PID 616)
- lsm.exe (PID 624)
- svchost.exe (PID 768)
- winlogon.exe (PID 828)
- nvvsvc.exe (PID 848)
- svchost.exe (PID 884)
- livesrv.exe (PID 920)
- vsserv.exe (PID 1048)
- atiesrxx.exe (PID 1112)
- svchost.exe (PID 1132)
- svchost.exe (PID 1156)
- svchost.exe (PID 1168)
- audiodg.exe (PID 1268)
- svchost.exe (PID 1296)
- SLsvc.exe (PID 1312)
- nvvsvc.exe (PID 1364)
- svchost.exe (PID 1416)
- spoolsv.exe (PID 1576)
- svchost.exe (PID 1644)
- SMSvcHost.exe (PID 1732)
- svchost.exe (PID 1764)
- svchost.exe (PID 1796)
- X10nets.exe (PID 1812)
- taskeng.exe (PID 472)
- bdagent.exe (PID 760)
- dwm.exe (PID 1000)
- explorer.exe (PID 1372)
- cledx.exe (PID 2188)
- wpcumi.exe (PID 2196)
- jusched.exe (PID 2204)
- ehtray.exe (PID 2228)
- X10Receiver.NET.exe (PID 2240)
- wmpnscfg.exe (PID 2248)
- SetPoint.exe (PID 2268)
- ObjectDock.exe (PID 2280)
- Virtual Desktops.exe (PID 2304)
- YahooWidgets.exe (PID 2328)
- seccenter.exe (PID 2512)
- ehmsas.exe (PID 3256)
- KHALMNPR.exe (PID 3460)
- YahooWidgets.exe (PID 3508)
- YahooWidgets.exe (PID 3552)
- YahooWidgets.exe (PID 3600)
- YahooWidgets.exe (PID 3716)
- taskeng.exe (PID 2988)
- taskeng.exe (PID 2220)
- trillian.exe (PID 3320)
- taskeng.exe (PID 3972)
- taskeng.exe (PID 2356)
- taskeng.exe (PID 1024)
- avirarkd.exe (PID 2064)
========================================================================================================
- Scan finished Sonntag, 6. September 2009 - 23:26:45
========================================================================================================

Sophos schlug mir vor sich auf den Pfad:
C:\Program Files\Sophos\Sophos Anti-Rootkit
zu installieren und nicht in C:\SOPHTEMP

Da ich denke, dass das mit einem Programmupdate zu tun hat, habe ich den vorgeschlagenen Pfad (C:\Program Files\Sophos\Sophos Anti-Rootkit) nicht geändert.

So far so good. So aaaalles beendet, Netzwerkverbindungen unterbrochen, Maus ausgeschaltet, Browser beendet, Bitdefender (da es sich nicht stoppen ließ [Bitdefender kan nicht angehalten werden, von Natur aus...]) fix deinstalliert, Scan gestartet und schlafen gegangen.

Alt 07.09.2009, 07:03   #11
ZoSar
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



Post 2/2
der erste Post befindet sich direkt darunter :-)


Logfile:

Zitat:

Sophos Anti-Rootkit Version 1.5.0 (c) 2009 Sophos Plc
Started logging on 06.09.2009 at 23:44:26
User "***arion" on computer "DESKTOP"
Windows version 6.0 SP 1.0 Service Pack 1 build 6001 SM=0x300 PT=0x1 Win32
Info: Starting process scan.
Info: Starting registry scan.
Info: Starting disk scan of C: (NTFS).
Hidden: file C:\Windows\System32\drivers\sptd.sys
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\zuck***aene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\56\56-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v56-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v56-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***elsang@gmx.de\SharingMetadata\zuck***aene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\60\60-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v60-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v60-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***elsang@gmx.de\SharingMetadata\zuck***raene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\54\54-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v54-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v54-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soe***sang@gmx.de\SharingMetadata\h***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\29\35-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v29-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v35-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\23\23-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v23-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v23-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\36\36-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v36-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v36-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\16\16-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v16-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v16-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\39\39-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v39-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v39-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\15\15-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v15-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v15-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\17\17-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v17-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v17-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\15\15-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v15-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v15-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\40\40-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v40-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v40-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\21\34-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v21-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v34-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***sang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\22\22-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v22-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v22-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\25\25-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v25-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v25-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***sang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\26\26-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v26-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v26-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\23\23-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v23-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v23-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***lsang@gmx.de\SharingMetadata\h***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\16\16-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v16-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v16-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\24\24-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v24-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v24-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***ang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\30\30-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v30-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v30-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\36\36-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v36-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v36-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***sang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\37\37-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v37-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v37-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\hank.i@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\38\38-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v38-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v38-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\31\31-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v31-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v31-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soe***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\39\39-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v39-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v39-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\40\40-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v40-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v40-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soe***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\41\41-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v41-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v41-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\01\14-{17096606-28E9-5A0E-3334-F46462141A2D}-v1-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v14-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\18\18-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v18-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v18-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***sang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\25\25-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v25-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v25-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\27\27-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v27-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v27-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\26\26-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v26-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v26-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***ang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\19\32-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v19-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v32-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soerenv***ang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\17\17-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v17-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v17-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\27\27-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v27-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v27-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soe***elsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\18\18-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v18-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v18-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***lsang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\20\33-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v20-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v33-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***elsang@gmx.de\SharingMetadata\h***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\41\41-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v41-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v41-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***sang@gmx.de\SharingMetadata\hank.i@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\28\28-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v28-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v28-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***sang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\30\30-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v30-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v30-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***lsang@gmx.de\SharingMetadata\han***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\31\31-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v31-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v31-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soerenvo***g@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\22\22-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v22-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v22-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***ang@gmx.de\SharingMetadata\juli***d@hotmail.de\DFSR\Staging\CS{3B9D60AE-734D-8549-0967-6737E0851A62}\01\11-{3B9D60AE-734D-8549-0967-6737E0851A62}-v1-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v11-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***sang@gmx.de\SharingMetadata\juli***@hotmail.de\DFSR\Staging\CS{3B9D60AE-734D-8549-0967-6737E0851A62}\13\13-{A77BF785-E51C-4A35-8C36-D9B14089E972}-v13-{A77BF785-E51C-4A35-8C36-D9B14089E972}-v13-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***elsang@gmx.de\SharingMetadata\***i@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\28\28-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v28-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v28-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***ang@gmx.de\SharingMetadata\ha***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\37\37-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v37-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v37-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\h***@hotmail.de\DFSR\Staging\CS{17096606-28E9-5A0E-3334-F46462141A2D}\38\38-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v38-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v38-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***sang@gmx.de\SharingMetadata\sa***sich@web.de\DFSR\Staging\CS{F8242FEA-0144-C48E-F9E0-59A987046E44}\01\12-{F8242FEA-0144-C48E-F9E0-59A987046E44}-v1-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v12-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***lsang@gmx.de\SharingMetadata\zuck***ne@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\59\59-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v59-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v59-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zu***raene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\48\48-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v48-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v48-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\zuckertraene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\58\58-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v58-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v58-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***lsang@gmx.de\SharingMetadata\zuckertraene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\57\57-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v57-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v57-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soe***elsang@gmx.de\SharingMetadata\zuc***aene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\53\53-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v53-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v53-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***elsang@gmx.de\SharingMetadata\zuc***aene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\61\61-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v61-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v61-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\so***gelsang@gmx.de\SharingMetadata\zuck***aene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\01\45-{0582C48E-844E-E104-B84E-AAF7F2DDD36A}-v1-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v45-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\zucke***ne@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\46\46-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v46-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v46-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***elsang@gmx.de\SharingMetadata\zuc***aene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\47\47-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v47-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v47-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***elsang@gmx.de\SharingMetadata\zuck***ene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\48\48-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v48-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v48-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\zuc***raene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\49\49-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v49-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v49-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\zuc***raene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\50\50-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v50-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v50-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zuc***raene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\62\62-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v62-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v62-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\zuc***aene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\51\51-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v51-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v51-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zuc***raene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\52\52-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v52-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v52-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zuc***aene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\53\53-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v53-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v53-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\zuckertraene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\54\54-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v54-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v54-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zuc***raene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\55\55-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v55-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v55-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zuck***raene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\56\56-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v56-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v56-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zuc***traene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\57\57-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v57-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v57-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\z***traene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\58\58-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v58-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v58-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zuc***traene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\47\47-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v47-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v47-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\zuc***raene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\59\59-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v59-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v59-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soere***gelsang@gmx.de\SharingMetadata\zuc***traene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\60\60-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v60-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v60-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zucker***ene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\61\61-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v61-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v61-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soer***elsang@gmx.de\SharingMetadata\zuc***aene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\62\62-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v62-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v62-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zuc***traene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\49\49-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v49-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v49-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\mo***hadow1985@hotmail.de\DFSR\Staging\CS{3539F6F1-9548-7EF6-BF3D-C8B09E4EFB61}\01\10-{3539F6F1-9548-7EF6-BF3D-C8B09E4EFB61}-v1-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v10-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zuc***traene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\50\50-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v50-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v50-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soe***gelsang@gmx.de\SharingMetadata\zu***traene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\51\51-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v51-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v51-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zu***rtraene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\55\55-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v55-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v55-Downloaded.frx
Hidden: file C:\Users\Ranarion\AppData\Local\Microsoft\Messenger\soeren***elsang@gmx.de\SharingMetadata\zu***raene@hotmail.de\DFSR\Staging\CS{0582C48E-844E-E104-B84E-AAF7F2DDD36A}\52\52-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v52-{8A0F8B20-9E7B-4FA3-84B1-03DD78F531C9}-v52-Downloaded.frx
Info: Starting disk scan of D: (NTFS).
Info: Starting disk scan of H: (FAT).
Stopped logging on 07.09.2009 at 01:29:02
So, ich hoffe ich habe oben keine mailadresse mit den *** vergessen ^^

Ich hoffe da ist nun nichts mehr zu finden

jetzt heisst es und wenn du willst geb ich dir einen aus :-)

dankööö

Alt 08.09.2009, 08:43   #12
Redwulf
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



So far so good....wie wir immer so sagen

Es scheint, das der rootkit durch deine vorangegangene Aktion gekillt ist.

Nun sollten wir aber noch aufräumen. Ich schlage vor du benutzt jetzt nochmals den CCleaner und danach einen Malwarebytes ( natürlich nachdem du ein update gemacht hast. )

Bitte poste hiernach nochmals einen frischen HiJack this Log.

Und dann simmer schon fast fertig
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 08.09.2009, 11:35   #13
ZoSar
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



MalwareLog:

Zitat:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2756
Windows 6.0.6001 Service Pack 1

08.09.2009 12:04:12
mbam-log-2009-09-08 (12-04-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 534906
Laufzeit: 2 hour(s), 1 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\Audio\****************\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\Program Files\*******\********\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.

HijackThis Log:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:31:13, on 08.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Syncrosoft\POS\H2O\cledx.exe
C:\Windows\System32\wpcumi.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\X10Receiver.NET\X10Receiver.NET.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\ObjectDock\ObjectDock.exe
C:\Program Files\Virtual Desktops\Virtual Desktops.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.******.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.******soft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.******soft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.******oft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.******oft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [B Register C:\Program Files\Video\DivX\DivX Plus DirectShow Filters\DivXDecH264.ax] "C:\Windows\system32\rundll32.exe" "C:\Program Files\Video\DivX\DivX Plus DirectShow Filters\DivXDecH264.ax",DllRegisterServer
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [X10Receiver.NET] C:\Program Files\X10Receiver.NET\X10Receiver.NET.exe -dontshow
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Object Dock (2).lnk = C:\Program Files\ObjectDock\ObjectDock.exe
O4 - Startup: Object Dock.lnk = C:\Program Files\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Browser & IM\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Browser & IM\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/actives.../as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...nt/swflash.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Burn & Mount\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Program Files\Burn & Mount\Virtual CD v9\System\vc9secs.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9621 bytes
So, mein Gott und ich dachte am Anfang: Das krieg ich doch nie hin

Alt 08.09.2009, 17:48   #14
Redwulf
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



Naja, gar nicht schlecht bis jetzt.

Dennoch ich möchte das du dir diese files suchst und zu Virustotal.com hochlädst um sie checken zu lassen. Das Ergebnis postest du bitte hier

Code:
ATTFilter
C:\Program Files\Virtual Desktops\Virtual Desktops.exe
C:\Program Files\X10Receiver.NET\X10Receiver.NET.exe
C:\Program Files\ObjectDock\ObjectDock.exe
         
Lasse die files auf jeden Fall überprüfen, auch wenn angezeigt wird, dass diese schon mal überprüft wurden..

Du hast 2 Funde im Pfad unkenntlich gemacht, warum dass denn?
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 08.09.2009, 22:48   #15
ZoSar
 
Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Standard

Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht



das waren 2 mir bekannte programme, die ich nicht öffentlich machen wollte.

Die drei Sachen die dir Sorgen machen sind auch absolut unbedenklich. Das eine ist eine Objektleiste ála Apple, das andere ist der Treiber meiner Fernbedienung und das letzte sind multiple Desktops zum switchen.

Juhuuuuuuu, heisst das, das ich tatsächlcih wieder Virenfrei durch di Welt surfe?





DAAAAAAAAAAAAAAAAAAAAAANKE!!!!!

Antwort

Themen zu Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht
alle programme, automatisch, avg, bestimmte, bitdefender, defender, downloaden, explorer, fehler, gen, hijack, hijackthis, internet explorer, lizenz, neu, nicht mehr, problem, programme, proxy, server, spybot, trojaner, update, updaten, updates, verbindungen



Ähnliche Themen: Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht


  1. Win 7: istartsurf eingefangen/updates gehen nirgends mehr
    Log-Analyse und Auswertung - 07.06.2015 (10)
  2. Windows7, Internet geht nicht mehr bis auf Google Seite, manche Programm gehen nicht
    Log-Analyse und Auswertung - 30.01.2015 (21)
  3. Updates gehen nicht mehr
    Alles rund um Windows - 16.12.2013 (14)
  4. Browser gehen nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 06.11.2013 (15)
  5. Suchmaschinen gehen nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 06.07.2010 (10)
  6. Alle Shortcuts auf Desktop/Startleiste gehen nicht mehr (.LNK) HIJACKTHIS-log
    Log-Analyse und Auswertung - 11.03.2010 (1)
  7. usb ports gehen nicht mehr
    Log-Analyse und Auswertung - 11.01.2010 (2)
  8. Videos gehen bei Youtube nicht mehr
    Alles rund um Windows - 08.11.2009 (0)
  9. HP Schnellzugriffstasten gehen nicht mehr!!!
    Netzwerk und Hardware - 14.10.2009 (4)
  10. Avira updates gehen nicht mehr
    Antiviren-, Firewall- und andere Schutzprogramme - 11.08.2009 (7)
  11. Hupigon13, Win32.Delf.uv - Antivir und Hijackthis gehen nicht
    Plagegeister aller Art und deren Bekämpfung - 10.06.2009 (28)
  12. icq, msn, qip und seiten wie schülervz gehen nicht mehr
    Log-Analyse und Auswertung - 07.01.2009 (14)
  13. .exe und .com gehen nicht mehr - Virus ?
    Plagegeister aller Art und deren Bekämpfung - 19.11.2008 (5)
  14. Virus? Icons etc gehen nicht mehr!
    Plagegeister aller Art und deren Bekämpfung - 18.01.2008 (6)
  15. EXE Dateien und Verknüpfungen gehen nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 09.04.2007 (2)
  16. Spybot 1.4 - Updates gehen nicht
    Antiviren-, Firewall- und andere Schutzprogramme - 17.12.2005 (3)
  17. manche Internetseiten gehen nicht mehr
    Log-Analyse und Auswertung - 23.10.2004 (12)

Zum Thema Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht - Mooin. Ich habe seit kurzem ein Problem beim updaten und Internetverbindungen die von bestimmten Programmen ausgehen. Ein Clicker Trojaner hat sich durch meinen AVG geschummelt. --> AVG deinstalliert und Bitdefender - Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht...
Archiv
Du betrachtest: Updates gehen nicht mehr, Hijackthis, Spybot etc gehen nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.