Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Problem mit Computer

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.05.2008, 13:41   #1
specialagent
 
Problem mit Computer - Icon21

Problem mit Computer



Hallo alle zusammen,
Ich brauche Hilfe (und bin noob also alles bitte auf "deutsch" )
Fange ich mal an:
Ich habe Win XP und hatte folgendes mit Spyware Doctor gefunden:
Application.TrackingCookies
adware.Advertising
Trojan.Downloader.Agent.DUJ --- Gelöscht (zusätzlich in Quarantäne) - erfolgreich=)).. Allerdings weiß ich den Pfad nicht..sorry
Hier ein Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 14:25:51, on 07.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
D:\Programme\BitDefender\BitDefender 2008\vsserv.exe
D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\AOL\1196097451\ee\AOLSoftware.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\SiteAdvisor\6172\SiteAdv.exe
D:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\AOL\Loader\aolload.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0 VRa\waol.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AOL 9.0 VRa\shellmon.exe
C:\DOKUME~1\user1\LOKALE~1\Temp\Rar$EX00.219\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shop.symantecstore.com/servlet/PromoServlet/promoID.2397700
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - D:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1196097451\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6172\SiteAdv.exe
O4 - HKLM\..\Run: [BDAgent] "D:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "D:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\BitDefender\BitDefender 2008\vsserv.exe" /service (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe


Ich benutze (noch bis mitte Mai) AOL (LEIDER) und Fritz WLAN mit Stick(WEP) ...
was sonst so in meinem System steckt:
System infos:
AMD Athlon (tm) 64 X2 Dual
Core processor 5000+
2.61 GHz , 2,00 GB RAM
NVIDIA GeForce 8600 GT
Das hatte die COMODO Firewall gemeldet:
trojan.Win32.Patched.m (ID=0x72d15) ... den gleich 2x einmal als winlogon.exe und im dllcache auch als winlogon.exe
Mein AntiVirus Prog.:
BitDefender Internet Security 2008 (ich hatte zuvor:AVIRA mit spywaredoctor und COMODO firewall ..diese runter ,dann PC Tools Firewall Plus.. dazwischen noch ad-aware und spywareFIGHTER... -.- ,,konnte mir nicht helfen .. bitte helft mir armes bekloppt werdendes wesen ..computerbild und computerhilfen.de antworteten mir als erstes und letztes : formatieren ,also bitte enttäuscht mich nicht .. Eures Forum wurde mir schließlich empfohlen ... Gruß und danke im Voraus,
Specialagent
__________________
Gruß,Specialagent

Wenn am Anfang alles schiefgeht,nenne es Version 1.0

Alt 07.05.2008, 14:35   #2
myrtille
/// TB-Ausbilder
 
Problem mit Computer - Standard

Problem mit Computer



Hi,
erstmal würde ich gern sicher gehen, dass du keine weiteren Bereinigungen am laufen hast.
Könntest du mir bitte die Links zu deinen abgeschlossenen Threads bei Computerhilfen und Computerbild geben?

Dann hätte ich gern einen Scan mit Malwarebytes

und die Fundadressen aus dem Spyware Doctor report.
Das geht wie folgt:
Settings->Pick a category-> Log Settings auswählen und dort das Logfile von dem Tag aufrufen, an dem die Malware gefunden wurde.
Die Fundorte dieser beiden Genossen:
Zitat:
adware.Advertising
Trojan.Downloader.Agent.DUJ
Interessieren mich.

Lade bitte außerdem die von Comodo gemeldeten winlogon.exe bei virustotal hoch und poste das komplette (!) Ergebnis hier!
(gib bitte auch die Links zu den Ergebnissen an)

Ein Neuaufsetzen ist immer die sicherste Variante und je nach Befall auch die einzige Variante.
Allerdings wollen wir doch erstmal schauen, ob sich das nicht vielleicht verhindern lässt.

lg myrtille
__________________

__________________

Alt 07.05.2008, 15:21   #3
specialagent
 
Problem mit Computer - Ausrufezeichen

Problem mit Computer



also dankeschön erstmal:
Probleme mit Viren -Malware! - Seite 4 - Forum - COMPUTER BILD
Computerhilfen.de: Sicherheit: Windows XP: Warum wird die Firewall bei dem Systemstart deakt. (habe pctools fir
Ps.malwarebytes war schon am laufen ..
Malwarebytes' Anti-Malware 1.12
Datenbank Version: 728

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 105133
Scan Dauer: 22 minute(s), 39 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\explorer.backup (Heuristics.Reserved.Word.Exploit) -> No action taken.

SpywareDoctor ist leider schon runter... aber die adware bekomme ich eh immer wieder mit den cookies von daher.. aber den pfad vom agent ist futsch.. eben durch die deinstall
infizierte datei:
MD5: 64d320c0e301eedc5a4adbbdc5024f7f
First received: 2007.12.19 21:43:21 (CET)
Datum 2008.05.02 20:35:56 (CET) [>4D]
Ergebnisse 0/31
Permalink: analisis/4a7afe9bba55b87434b957ff01842195
.. aber ich weiß immerhin noch das ich die anderen dateien auch gescannt habe ,diese NICHT infiziert waren.. ich suche nochmal fleißig:
BINGO!
MD5: 2b6a0baf33a9918f09442d873848ff72
First received: 2007.03.19 20:07:37 (CET)
Datum 2008.05.06 23:13:59 (CET) [<1D]
Ergebnisse 0/31
Permalink: analisis/53acced25c17022c277f15151ae39573
und noch die im dllcache:
nicht gefunden..(beide im system32)
wie gesagt den pfad von agent kann ich nicht mehr sehen..sorrry
Pfade:
07.05.2008 16:25:45:343
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - 2o7.net/ 2o7.net
07.05.2008 16:25:45:375
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - adtech.de/ adtech.de
07.05.2008 16:25:45:406
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - atdmt.com/ atdmt.com
07.05.2008 16:25:45:406
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - atwola.com/ atwola.com
07.05.2008 16:25:45:421
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - doubleclick.net/ doubleclick.net
07.05.2008 16:25:45:453
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - mediaplex.com/ mediaplex.com
07.05.2008 16:25:48:421
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - s_vi .softonic.112.2o7.net
07.05.2008 16:25:48:453
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - NC1U 3DStats.com - Professional Website statistics in real time
07.05.2008 16:25:48:468
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - V5 .imrworldwide.com
07.05.2008 16:25:48:468
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - IMRID .imrworldwide.com
07.05.2008 16:25:48:656
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - TfCtxtAdServer .tribalfusion.com
07.05.2008 16:25:48:656
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - TfAdCountMap .tribalfusion.com
07.05.2008 16:25:48:656
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - TfAdCountDate .tribalfusion.com
07.05.2008 16:25:48:656
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - ANON_ID .tribalfusion.com
07.05.2008 16:25:48:750
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - s_vi .spamfighter.112.2o7.net
..ich konnte deinen Vorgang nicht finden /machen
__________________
__________________

Geändert von specialagent (07.05.2008 um 15:29 Uhr) Grund: SpywareDoctor

Alt 07.05.2008, 16:06   #4
myrtille
/// TB-Ausbilder
 
Problem mit Computer - Standard

Problem mit Computer



Diese Datei:
Zitat:
C:\WINDOWS\explorer.backup
ist von dir? von Comodo?
Oder hast du keine Ahnung wie sie da hin kommt?

Wenn dir die Datei nicht bekannt ist, bitte auch mal bei Virustotal hochladen.

Die hochgeladene explorer.exe scheint sauber und ne bekannte Explorer.exe-Version zu sein. Was ist mit der winlogon.exe, die er gemeldet hat? Auch sauber?

Ok Adware.Dingens ist also auch nur ein Cookie. Na gut. Das ist dann wohl auch harmlos.
Bleibt letzendlich nur der Downloader, von dem wir nicht wissen was er wann und wo macht.

Ich kann dir anbieten noch 4-5 Tests zu machen um zu schauen, ob der Downloader auftaucht.
Wenn er NICHT gefunden wird musst du dich entscheiden ob du lieber zur Sicherheit neuaufsetzt oder ob du mit dem Restrisiko leben kannst.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 07.05.2008, 16:56   #5
specialagent
 
Problem mit Computer - Standard

Problem mit Computer



ok... also der explorer.backup ist von Malwarebytes und denn kenn ich nicht ..
Die Tests nehm ich zur meiner sicherheit an...:aplaus:
Aber formatieren kann ich auch,habe ja endlich backups
Bitte nur kurz und knapp auf deutsch posten ,was ich beachten muss NACH der formatierung und wie es mit der partition aussieht.
Der backup ist laut virustotal sauber:

Die Datei wurde bereits analysiert:
MD5: 64d320c0e301eedc5a4adbbdc5024f7f
First received: 2007.12.19 21:43:21 (CET)
Datum 2008.05.02 20:35:56 (CET) [>4D]
Ergebnisse 0/31
,bzw:
AhnLab-V3 2008.5.2.1 2008.05.02 -
AntiVir 7.8.0.11 2008.05.02 -
Authentium 4.93.8 2008.05.02 -
Avast 4.8.1169.0 2008.05.02 -
AVG 7.5.0.516 2008.05.02 -
BitDefender 7.2 2008.05.02 -
CAT-QuickHeal 9.50 2008.05.02 -
ClamAV 0.92.1 2008.05.02 -
DrWeb 4.44.0.09170 2008.05.02 -
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5753 2008.05.02 -
Ewido 4.0 2008.05.02 -
F-Prot 4.4.2.54 2008.05.02 -
F-Secure 6.70.13260.0 2008.05.02 -
Fortinet 3.14.0.0 2008.05.02 -
Ikarus T3.1.1.26 2008.05.02 -
Kaspersky 7.0.0.125 2008.05.02 -
McAfee 5286 2008.05.02 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3071 2008.05.02 -
Norman 5.80.02 2008.04.30 -
Panda 9.0.0.4 2008.05.01 -
Prevx1 V2 2008.05.02 -
Rising 20.42.22.00 2008.04.30 -
Sophos 4.29.0 2008.05.02 -
Sunbelt 3.0.1097.0 2008.05.01 -
Symantec 10 2008.05.02 -
TheHacker 6.2.92.298 2008.04.30 -
VBA32 3.12.6.5 2008.05.02 -
VirusBuster 4.3.26:9 2008.05.02 -
Webwasher-Gateway 6.6.2 2008.05.02 -
weitere Informationen
File size: 1036288 bytes
MD5...: 64d320c0e301eedc5a4adbbdc5024f7f
SHA1..: 31e7d89607ba519b1473f6449f5e638282feb6c6
SHA256: 7db5fea62544b169e31860576b3a269f25822bd267551d3f7f330fbd2320e821
SHA512: 08e668fa9c501d825612b35bbf3deff4e912ce3a7f8f2b20c5409494833cfe6c
f495d412ed2dcdad3bf3e47b7bd8f6c14f44f97437d76acd014ae1fad28ac4a5
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x101a8ce
timedatestamp.....: 0x466fc588 (Wed Jun 13 10:23:04 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x44ad9 0x44c00 6.36 7de882aa0da62b155286cb91c8f0fbd9
.data 0x46000 0x1db4 0x1800 1.30 25fdde5ea7a06e94390eb8773b825a55
.rsrc 0x48000 0xb2f60 0xb3000 6.64 9dee16dfefe80f1cfe38f9bcf325c5fb
.reloc 0xfb000 0x3720 0x3800 6.76 924c25a2a1584ac973811d65894c44fa

( 13 imports )
> ADVAPI32.dll: RegSetValueW, RegEnumKeyExW, GetUserNameW, RegNotifyChangeKeyValue, RegEnumValueW, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyW, RegCloseKey, RegCreateKeyW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, RegQueryValueW
> BROWSEUI.dll: -, -, -, -
> GDI32.dll: GetStockObject, CreatePatternBrush, OffsetViewportOrgEx, GetLayout, CombineRgn, CreateDIBSection, GetTextExtentPoint32W, StretchBlt, SetTextColor, CreateRectRgn, GetClipRgn, IntersectClipRect, GetViewportOrgEx, SetViewportOrgEx, SelectClipRgn, PatBlt, GetBkColor, CreateCompatibleDC, CreateCompatibleBitmap, OffsetWindowOrgEx, DeleteDC, SetBkColor, BitBlt, ExtTextOutW, GetTextExtentPointW, GetClipBox, GetObjectW, CreateRectRgnIndirect, SetBkMode, CreateFontIndirectW, DeleteObject, GetTextMetricsW, SelectObject, GetDeviceCaps, TranslateCharsetInfo, SetStretchBltMode
> KERNEL32.dll: GetSystemDirectoryW, CreateThread, CreateJobObjectW, ExitProcess, SetProcessShutdownParameters, ReleaseMutex, CreateMutexW, SetPriorityClass, GetCurrentProcess, GetStartupInfoW, GetCommandLineW, SetErrorMode, LeaveCriticalSection, EnterCriticalSection, ResetEvent, LoadLibraryExA, CompareFileTime, GetSystemTimeAsFileTime, SetThreadPriority, GetCurrentThreadId, GetThreadPriority, GetCurrentThread, GetUserDefaultLangID, Sleep, GetBinaryTypeW, GetModuleHandleExW, SystemTimeToFileTime, GetLocalTime, GetCurrentProcessId, GetEnvironmentVariableW, UnregisterWait, GlobalGetAtomNameW, GetFileAttributesW, MoveFileW, lstrcmpW, LoadLibraryExW, FindClose, FindNextFileW, FindFirstFileW, lstrcmpiA, SetEvent, AssignProcessToJobObject, GetDateFormatW, GetTimeFormatW, FlushInstructionCache, lstrcpynW, GetSystemWindowsDirectoryW, SetLastError, GetProcessHeap, HeapFree, HeapReAlloc, HeapSize, HeapAlloc, GetUserDefaultLCID, ReadProcessMemory, OpenProcess, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, UnhandledExceptionFilter, SetUnhandledExceptionFilter, VirtualFree, VirtualAlloc, ResumeThread, TerminateProcess, TerminateThread, GetSystemDefaultLCID, GetLocaleInfoW, CreateEventW, GetLastError, RegisterWaitForSingleObject, OpenEventW, WaitForSingleObject, GetTickCount, ExpandEnvironmentStringsW, GetModuleFileNameW, GetPrivateProfileStringW, lstrcmpiW, CreateProcessW, FreeLibrary, GetWindowsDirectoryW, LocalAlloc, CreateFileW, DeviceIoControl, LocalFree, GetQueuedCompletionStatus, CreateIoCompletionPort, SetInformationJobObject, CloseHandle, LoadLibraryW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx, DelayLoadFailureHook, GetProcAddress, DeleteCriticalSection, CreateEventA, HeapDestroy, InitializeCriticalSection, GetFileAttributesExW, MulDiv, lstrlenW, InterlockedDecrement, InterlockedIncrement, GlobalAlloc, InterlockedExchange, GetModuleHandleA, GetVersionExA, GlobalFree, GetProcessTimes, lstrcpyW, GetLongPathNameW, InitializeCriticalSectionAndSpinCount
> msvcrt.dll: _itow, free, memmove, realloc, _except_handler3, malloc, _ftol, _vsnwprintf
> ntdll.dll: RtlNtStatusToDosError, NtQueryInformationProcess
> ole32.dll: CoFreeUnusedLibraries, RegisterDragDrop, CreateBindCtx, RevokeDragDrop, CoInitializeEx, CoUninitialize, OleInitialize, CoRevokeClassObject, CoRegisterClassObject, CoMarshalInterThreadInterfaceInStream, CoCreateInstance, OleUninitialize, DoDragDrop
> OLEAUT32.dll: -, -
> SHDOCVW.dll: -, -, -
> SHELL32.dll: -, SHGetFolderPathW, -, -, -, -, -, ExtractIconExW, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, ShellExecuteExW, -, -, -, -, -, -, -, SHBindToParent, -, -, -, SHParseDisplayName, -, -, -, -, -, -, SHGetSpecialFolderLocation, -, -, -, -, SHGetSpecialFolderPathW, -, -, -, -, -, SHChangeNotify, SHGetDesktopFolder, SHAddToRecentDocs, -, -, -, DuplicateIcon, -, -, -, -, -, -, -, -, SHUpdateRecycleBinIcon, SHGetFolderLocation, SHGetPathFromIDListA, -, -, -, -, -, -, -, SHGetPathFromIDListW, -, -, -
> SHLWAPI.dll: StrCpyNW, -, -, -, -, StrRetToBufW, StrRetToStrW, -, -, -, -, SHQueryValueExW, PathIsNetworkPathW, -, AssocCreate, -, -, -, -, -, StrCatW, StrCpyW, -, -, -, -, -, -, -, SHGetValueW, -, StrCmpNIW, PathRemoveBlanksW, PathRemoveArgsW, PathFindFileNameW, StrStrIW, PathGetArgsW, -, StrToIntW, SHRegGetBoolUSValueW, SHRegWriteUSValueW, SHRegCloseUSKey, SHRegCreateUSKeyW, SHRegGetUSValueW, SHSetValueW, -, PathAppendW, PathUnquoteSpacesW, -, -, PathQuoteSpacesW, -, SHSetThreadRef, SHCreateThreadRef, -, -, -, PathCombineW, -, -, -, SHStrDupW, PathIsPrefixW, PathParseIconLocationW, AssocQueryKeyW, -, AssocQueryStringW, StrCmpW, -, -, -, -, -, -, -, -, SHRegQueryUSValueW, SHRegOpenUSKeyW, SHRegSetUSValueW, PathIsDirectoryW, PathFileExistsW, PathGetDriveNumberW, -, StrChrW, PathFindExtensionW, -, -, PathRemoveFileSpecW, PathStripToRootW, -, -, -, SHOpenRegStream2W, -, -, -, StrDupW, SHDeleteValueW, StrCatBuffW, SHDeleteKeyW, StrCmpIW, -, -, wnsprintfW, -, StrCmpNW, -, -
> USER32.dll: TileWindows, GetDoubleClickTime, GetSystemMetrics, GetSysColorBrush, AllowSetForegroundWindow, LoadMenuW, GetSubMenu, RemoveMenu, SetParent, GetMessagePos, CheckDlgButton, EnableWindow, GetDlgItemInt, SetDlgItemInt, CopyIcon, AdjustWindowRectEx, DrawFocusRect, DrawEdge, ExitWindowsEx, WindowFromPoint, SetRect, AppendMenuW, LoadAcceleratorsW, LoadBitmapW, SendNotifyMessageW, SetWindowPlacement, CheckMenuItem, EndDialog, SendDlgItemMessageW, MessageBeep, GetActiveWindow, PostQuitMessage, MoveWindow, GetDlgItem, RemovePropW, GetClassNameW, GetDCEx, SetCursorPos, ChildWindowFromPoint, ChangeDisplaySettingsW, RegisterHotKey, UnregisterHotKey, SetCursor, SendMessageTimeoutW, GetWindowPlacement, LoadImageW, SetWindowRgn, IntersectRect, OffsetRect, EnumDisplayMonitors, RedrawWindow, SubtractRect, TranslateAcceleratorW, WaitMessage, InflateRect, CallWindowProcW, GetDlgCtrlID, SetCapture, LockSetForegroundWindow, CopyRect, SystemParametersInfoW, FindWindowW, CreatePopupMenu, GetMenuDefaultItem, DestroyMenu, GetShellWindow, EnumChildWindows, GetWindowLongW, SendMessageW, RegisterWindowMessageW, GetKeyState, MonitorFromRect, MonitorFromPoint, RegisterClassW, SetPropW, GetWindowLongA, SetWindowLongW, FillRect, GetCursorPos, PtInRect, MessageBoxW, LoadStringW, ReleaseDC, GetDC, EnumDisplaySettingsExW, EnumDisplayDevicesW, PostMessageW, DispatchMessageW, TranslateMessage, GetMessageW, PeekMessageW, BeginPaint, EndPaint, SetWindowTextW, GetAsyncKeyState, InvalidateRect, GetWindow, ShowWindowAsync, TrackPopupMenuEx, UpdateWindow, DestroyIcon, IsRectEmpty, SetActiveWindow, GetSysColor, DrawTextW, IsHungAppWindow, SetTimer, GetMenuItemID, TrackPopupMenu, EndTask, SendMessageCallbackW, GetClassLongW, LoadIconW, OpenInputDesktop, CloseDesktop, SetScrollPos, ShowWindow, BringWindowToTop, GetDesktopWindow, CascadeWindows, CharUpperBuffW, SwitchToThisWindow, InternalGetWindowText, GetScrollInfo, GetMenuItemCount, ModifyMenuW, CreateWindowExW, DialogBoxParamW, MsgWaitForMultipleObjects, CharNextA, RegisterClipboardFormatW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, PrintWindow, SetClassLongW, GetPropW, GetNextDlgGroupItem, GetNextDlgTabItem, ChildWindowFromPointEx, IsChild, NotifyWinEvent, TrackMouseEvent, GetCapture, GetAncestor, CharUpperW, SetWindowLongA, DrawCaption, InsertMenuW, IsWindowEnabled, GetMenuState, LoadCursorW, GetParent, IsDlgButtonChecked, DestroyWindow, EnumWindows, IsWindowVisible, GetClientRect, UnionRect, EqualRect, GetWindowThreadProcessId, GetForegroundWindow, KillTimer, GetClassInfoExW, DefWindowProcW, RegisterClassExW, GetIconInfo, SetScrollInfo, GetLastActivePopup, SetForegroundWindow, IsWindow, GetSystemMenu, IsIconic, IsZoomed, EnableMenuItem, SetMenuDefaultItem, MonitorFromWindow, GetMonitorInfoW, GetWindowInfo, GetFocus, SetFocus, MapWindowPoints, ScreenToClient, ClientToScreen, GetWindowRect, SetWindowPos, DeleteMenu, GetMenuItemInfoW, SetMenuItemInfoW, CharNextW
> UxTheme.dll: GetThemeBackgroundContentRect, GetThemeBool, GetThemePartSize, DrawThemeParentBackground, OpenThemeData, DrawThemeBackground, GetThemeTextExtent, DrawThemeText, CloseThemeData, SetWindowTheme, GetThemeBackgroundRegion, -, GetThemeMargins, GetThemeColor, GetThemeFont, GetThemeRect, IsAppThemed
Joa ,wegen der agent weiß ich au net weiter.
Aber weder panda,avira,bitdefender,comodo,spywarefighter,spywaredoctor noch sonst i-jemand hat NACH spyware fund weiter gemekert.
ASO.
Noch ich habe damals auf nem eingeschränken konto eine mail geöffnet,weil ich dachte ich kenne sie,habe aber extra ein eingeschr. konto gemacht und dann geöffnet,...
war ne porno mail "aus der nachbarschaft",so betreff ,von "heike" ... .
Kann sein ,dass der daher kommt.
Habe aber keine Links in der mail geöffnet und SOFORT gelöscht

DANKE

__________________
Gruß,Specialagent

Wenn am Anfang alles schiefgeht,nenne es Version 1.0

Alt 07.05.2008, 19:04   #6
myrtille
/// TB-Ausbilder
 
Problem mit Computer - Standard

Problem mit Computer



Hi,
zum Thema formatieren&absichern, gibt es bei uns auch eine Anleitung klick.
Wenn sie dir nicht deutsch genug ist, bitte sagen. Wir machen die Anleitungen für euch, wenn ihr sie nicht versteht, dann haben wir unser Ziel verfehlt.

Bei genaueren/weiterführenden Fragen gebe ich gerne weitere Auskunft.

Zum Kontrollieren bitte folgende Tools mal durchführen und das Ergebnis hier posten:
  • Lade dir das Tool -> Silentrunners
  • Entpacke das Script in einen Ordner deiner Wahl
  • Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
  • System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
    (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
    erstellen, ignoriere dieses und arbeite weiter!)
  • Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
    (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)
und
  • Scanne dein System mit F-Secure Blacklight
  • Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

lg myrtille
__________________
--> Problem mit Computer

Alt 08.05.2008, 16:10   #7
specialagent
 
Problem mit Computer - Icon31

Problem mit Computer



Hi,
die Anleitung wa so ,wie ich sie wollte ,klasse! (Wenn ihr das eh schon i-wo stehen hattet,war ich zu faul zum suchen)


Silentrunners:
"Silent Runners.vbs", revision 57, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"msnmsgr" = ""C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background" [MS]
"AOL Fast Start" = ""C:\Programme\AOL 9.0 VRa\AOL.EXE" -b" ["AOL, LLC."]
"updateMgr" = "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9" ["Adobe Systems Incorporated"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"AVMWlanClient" = "C:\Programme\avmwlanstick\wlangui.exe" ["AVM Berlin"]
"AOLDialer" = "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" ["AOL LLC"]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1196097451\ee\AOLSoftware.exe" ["AOL LLC"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"SiteAdvisor" = "C:\Programme\SiteAdvisor\6172\SiteAdv.exe" ["McAfee, Inc."]
"BDAgent" = ""D:\Programme\BitDefender\BitDefender 2008\bdagent.exe"" ["BitDefender S.R.L."]
"BitDefender Antiphishing Helper" = ""D:\Programme\BitDefender\BitDefender 2008\IEShow.exe"" ["BitDefender"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{089FD14D-132B-48FC-8861-0048AE113215}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\SiteAdvisor\6172\SiteAdv.dll" ["McAfee, Inc."]
{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}\(Default) = "Canon Easy Web Print Helper"
-> {HKLM...CLSID} = "EWPBrowseObject Class"
\InProcServer32\(Default) = "D:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll" [null data]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [file not found]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\sspipes.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

PCinemaDCameraArrival\
"Provider" = "PowerCinema"
"InvokeProgID" = "Picture"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\Picture\shell\PlayWithPowerCinema\Command\(Default) = ""D:\Programme\CyberLink\PowerCinema\PowerCinema.exe" AUTOPLAY DSC "%L"" ["CyberLink Corp."]

PCinemaMusicFilesArrival\
"Provider" = "PowerCinema"
"InvokeProgID" = "MusicFiles"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\MusicFiles\shell\PlayWithPowerCinema\Command\(Default) = ""D:\Programme\CyberLink\PowerCinema\PowerCinema.exe" AUTOPLAY MUSIC "%L"" ["CyberLink Corp."]

PCinemaPlayCDAudioOnArrival\
"Provider" = "PowerCinema"
"InvokeProgID" = "AudioCD"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\AudioCD\shell\PlayWithPowerCinema\Command\(Default) = ""D:\Programme\CyberLink\PowerCinema\PowerCinema.exe" AUTOPLAY CD "%L"" ["CyberLink Corp."]

PCinemaPlayDVDMovieOnArrival\
"Provider" = "PowerCinema"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerCinema\Command\(Default) = ""D:\Programme\CyberLink\PowerCinema\PowerCinema.exe" AUTOPLAY MOVIE "%L"" ["CyberLink Corp."]

PCinemaVideoFilesArrival\
"Provider" = "PowerCinema"
"InvokeProgID" = "VideoFiles"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\VideoFiles\shell\PlayWithPowerCinema\Command\(Default) = ""D:\Programme\CyberLink\PowerCinema\PowerCinema.exe" AUTOPLAY VIDEO "%L"" ["CyberLink Corp."]

WinampMTPHandler\
"Provider" = "Winamp"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Winamp\winamp.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
-> {HKLM...CLSID} = "ShellExecute HW Event Handler"
\LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

WinampPlayMediaOnArrival\
"Provider" = "Winamp"
"InvokeProgID" = "Winamp.File"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\command\(Default) = ""C:\Programme\Winamp\winamp.exe" "%1"" ["Nullsoft"]
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\DropTarget\CLSID = "{46986115-84D6-459c-8F95-52DD653E532E}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = ""C:\Programme\Winamp\winamp.exe"" ["Nullsoft"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 27
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
-> {HKLM...CLSID} = "Easy-WebPrint"
\InProcServer32\(Default) = "D:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]
"{0BF43445-2F28-4351-9252-17FE6E806AA0}" = "McAfee SiteAdvisor"
-> {HKLM...CLSID} = "McAfee SiteAdvisor"
\InProcServer32\(Default) = "C:\Programme\SiteAdvisor\6172\SiteAdv.dll" ["McAfee, Inc."]
"{381FFDE8-2394-4F90-B10D-FC6124A40F8C}" = "IEToolbar"
-> {HKLM...CLSID} = "BitDefender Toolbar"
\InProcServer32\(Default) = "D:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll" ["Bitdefender"]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "D:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AOL Connectivity Service, AOL ACS, "C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe" ["AOL LLC"]
AVM WLAN Connection Service, AVM WLAN Connection Service, "C:\Programme\avmwlanstick\WlanNetService.exe" ["AVM Berlin"]
BitDefender Communicator, XCOMM, ""C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe" /service" ["BitDefender"]
BitDefender Desktop Update Service, LIVESRV, ""C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe" /service" ["BitDefender SRL"]
BitDefender Threat Scanner, scan, "C:\WINDOWS\System32\svchost.exe -kbdx" {"C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\scan.dll" ["S.C. BitDefender S.R.L"]}
BitDefender Virus Shield, VSSERV, ""D:\Programme\BitDefender\BitDefender 2008\vsserv.exe" /service" ["BitDefender S.R.L."]
CyberLink Background Capture Service (CBCS), CLCapSvc, ""D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe"" [empty string]
CyberLink Media Library Service, CyberLink Media Library Service, ""C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe"" ["Cyberlink"]
CyberLink Task Scheduler (CTS), CLSched, ""D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe"" [empty string]
Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, ""C:\Programme\Windows Live\Messenger\usnsvc.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
ProtexisLicensing, ProtexisLicensing, "C:\WINDOWS\system32\PSIService.exe" [null data]
WAN Miniport (ATW) Service, WANMiniportService, ""C:\WINDOWS\wanmpsvc.exe"" ["America Online, Inc."]


---------- (launch time: 2008-05-08 16:57:21)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 28 seconds, including 7 seconds for message boxes)
option ...??? nicht gefunden,aber der doppelklick und warten tuts auch xD
So Blacklight ist in Arbeit,werde ich edit. ..
Sonst noch was zu machen???
Dankeschön für deine Hilfe,bist der einzigste ,der mir vernünftig geholfen hat,das ist ein forum (schleim*** xD)
Ergebnis von F-secure:
No hidden items were found --- gut
__________________
Gruß,Specialagent

Wenn am Anfang alles schiefgeht,nenne es Version 1.0

Alt 08.05.2008, 18:06   #8
specialagent
 
Problem mit Computer - Ausrufezeichen

Problem mit Computer



noch was:
Ich hatte damals auf einen anderen Pc ein virennest,habe ein backup gemacht neuinstall usw..habe diese cd in mein laufwerk eibgelegt,um zu gucken,was drauf ist,weil ich nicht beschriftet habe ... mittlerweile ist dieser PC tot:
Sind Viren durch brennen einer CD übertragbar???

...danke
__________________
Gruß,Specialagent

Wenn am Anfang alles schiefgeht,nenne es Version 1.0

Alt 08.05.2008, 21:08   #9
myrtille
/// TB-Ausbilder
 
Problem mit Computer - Standard

Problem mit Computer



Hi,
die beiden Logs sind sauber

Ich würde ja vermuten, dass du überhaupt nicht infiziert warst, bzw dass es sich bei der Meldung um eine Datei zb ausm Cache handelt, die nicht ausgeführt wurde.
Das gibts immer wieder.

Ohne das Log gibt es darüber natürlich keine Gewissheit und es bleibt das "Restrisiko", mit dem du entweder Leben kannst oder doch lieber neuaufsetzt.

@CD
Was für Daten befinden sich denn auf deiner CD?
Prinzipiell kannst du dich mit allen Dateien infizieren, die ausführbar sind, weil ausführbare Dateien von Viren modifiziert werden können.
Hast du nur Bilder, Textdateien und Ähnliches gespeichert, besteht kaum ein Risiko.

Eigentlich hängt das alles vom Infektionstyp ab, was war denn genau drauf auf deinem alten Rechner?

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 09.05.2008, 14:11   #10
specialagent
 
Problem mit Computer - Icon26

Problem mit Computer



Das sind ja gute Nachtichten ,

Es sind lediglich Bilder und textdateien und alte musik...
KEINE .exe dateien ,bzw. ausführbare...
"Ohne das Log gibt es darüber natürlich keine Gewissheit und es bleibt das "Restrisiko", mit dem du entweder Leben kannst oder doch lieber neuaufsetzt."
was meinste mit "ohne log",meinste also das vom spywaredoctor?
Kannste mir mal sagen wie das in Zukunft ablaufen soll,wenn ich mal infiziert seien sollte,also sprich das log vom spywaredoctor zu sehen:
Das mit der Englischen version funkte net,schließlich habe ich 1.die deutsche und 2. wusste ich garnet wohin
Oh auf den alten rechner war ein antivirus prog,das "1000 viren" anzeigte und die weder löschen ließ,noch den pfad angab(fake!) ,war also quazi ohne antivir
Das erinnert mich an andere fakeantivirprogs,die auch so reagieren,sprich nicht löschbar usw.
Das ding hatte ein lilanes icon auf der taskleiste und hieß irgentwas mit "trojaner...." ,..
Der GEG:
Erst hatte ich dann antivir (mit fake),das immer wieder alarm schlug(avira)...
Irgentwann ist dann das Netzteil durchgeschmort und dann neu formatieren und anderes Netzteil mit kühler,da es wohl nicht nur das Netzteil getroffen hatte
Naja dann erstmal karkein virenprog ,sprich mit sp1 ohne save ins i-net...
Komisch,dass wir da keine viren bekommen haben.:
Ich weiß ,das hört sich komisch an ,aber als wir dann antivir (avira natürlich) hatten,hatten wir nichts....
Naja so avira.. aber wer weiß weiß
Im endeffekt wurde dieser nicht mehr benutzt,durch spätere fehler wieder formatiert und dann war garnichts mehr...
Zu der CD:
Waren lediglich backups mit bilder usw. (s. oben)
Zum Glück habe ich das fakeprog nicht mit aufs backup genommen,sprich das install.exe-pack.
Würde mich nur interessieren ,wie er damals aussah,der Pc,vor allen Dingen,weil mein Vater weniger Ahnung hat als ich in Sachen PC
NAJA ,danke und gruß,
Ich werde weiter meine Probleme kostenlos hier erzählen danke ,vielen dank!
PS.: Den format mache ich wenn wir den anbieter wechseln,wenn das SP3 kommplett draußen ist und ich mir das auf die orig. cd von win geladen habe (quelle:chip.de)
__________________
Gruß,Specialagent

Wenn am Anfang alles schiefgeht,nenne es Version 1.0

Geändert von specialagent (09.05.2008 um 14:15 Uhr) Grund: fehler

Alt 09.05.2008, 14:21   #11
myrtille
/// TB-Ausbilder
 
Problem mit Computer - Standard

Problem mit Computer



Hi,
generell gilt immernoch, dass es bei einem Backdoorbefall am besten ist Neuaufzusetzen.
In deinem Fall habe ich aber den Eindruck, dass es sich bei dem gefundenen Eintrag entweder um einen Downloader handelte, der nie ausgeführt wurde oder um einen Fehlalarm.
Hätten wir den Namen der Datei und ihren Ort auf deinem System ließe sich das mit mehr Bestimmtheit sagen.

Ich selber nutze SpywareDoctor nicht, ich würde es auch niemandem empfehlen, SAS oder MBAM schon eher.
Daher kann ich dir nur Anleitungen geben, die ich zb im Netz gefunden habe. Hättest du mit der Anleitung Schwierigkeiten gehabt, wäre als letzte Lösung immernoch geblieben, dass ich mir das Programm ebenfalls installiere und dir dann Schritt für Schritt alles vormachen kann.
Da du das Programm allerdings deinstalliert hattest, bin ich da nicht weiter draufeingegangen.
Das Installieren ist nur eben mit einem entsprechenden Zeitaufwand verbunden, sodass ich nicht mal eben SpywareDoctor installiere, bevor ich dir ne Antwort schreibe, sondern nur wenns absolut notwendig wird.

Fakevirenprogramme gibt es mittlerweile derart viele, dass ich da kaum noch mitkomm.
Wenn du Zweifel bzgl eines solchen Programmes hast, fragst du am besten im Board nach bevor du es installiert.

SP3 bekommst du übrigens auch bald per automatischen Download angeboten. Dann brauchst du keine CD brennen.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 09.05.2008, 14:33   #12
specialagent
 
Problem mit Computer - Standard

Problem mit Computer



OK,
Das Brennen war auch nicht gemeint sondern ein Befehl mit der eingabeauffoderung (cmd.exe) und dann sollte es auto. auf die orig. cd draufgespielt werden,geht das überhaupt??
DAnn bruache ich kein update machen sondern habe ja eins aktuelles
Ich bekomme ja immer andere smileys ,ist das normal? ?
war ja ein downloader
der wahrscheinlich nie zeit hatte sein werk zu verrichten,weil ich ,wenn ich fertig mit surfen bin ,den stick ziehe und dann vom i-net weg bin :aplaus:
Da ich jetzt BitDefender Internet Security 2008 benutze ,brauche ich weder AVIRA noch i-was anderes ,obwohl ich eig. AVIRA-fan bin
__________________
Gruß,Specialagent

Wenn am Anfang alles schiefgeht,nenne es Version 1.0

Alt 09.05.2008, 15:35   #13
specialagent
 
Problem mit Computer - Standard

Problem mit Computer



Ich habe mal ein Scan mit Kasperky gemacht und bin daruaf gekommen (log):
<html>
<head>
<title>PROTOKOLL FÜR KASPERSKY ONLINE SCANNER</title>
<meta http-equiv='Content-Type' content='text/html; charset=utf-8'>
</head>

<style>
.pagetitle { font-size:20px; color:#FFFFFF; font-family: Arial, Geneva, sans-serif; }
.text { font-size:11px; font-family: Arial, Geneva, sans-serif; }
TD { font-size:11px; font-family: Arial, Geneva, sans-serif; }
</style>

<body>
<table width='100%' height='110' border='0'>
<tr height='30' align='center' bgcolor='#005447'>
<td colspan='2' height='30' class='pagetitle'>
<b>PROTOKOLL FÜR KASPERSKY ONLINE SCANNER</b>
</td>
</tr>
<tr height='70'>
<td colspan='2' height='70'>
Freitag, 9. Mai 2008 16:31:23<br>
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)<br>
Version von Kaspersky Online Scanner: 5.0.98.1<br>
Letztes Update der Antiviren-Datenbanken: 9/05/2008<br>
Anzahl der Einträge in den Antiviren-Datenbanken: 749055<br>
</td>
</tr>
<tr height='10'>
<td colspan='2' height='10'>
</td>
</tr>
</table>
<table width='100%' height='145' border='0'>
<tr height='20' bgcolor='#EFEBDE'>
<td colspan='2' height='20'><b>Scan-Einstellungen</b></td>
</tr>
<tr height='15'>
<td height='15' width='250'>Folgende Antiviren-Datenbanken zur Untersuchung verwenden</td>
<td>Erweiterte</td>
</tr>
<tr height='15'>
<td height='15'>Archive untersuchen</td>
<td>ja</td>
</tr>
<tr height='15'>
<td height='15'>Mail-Datenbanken untersuchen</td>
<td>ja</td>
</tr>
<tr height='10'>
<td colspan='2' height='10'>
</td>
</tr>
<tr height='20' bgcolor='#EFEBDE'>
<td height='20'><b>Untersuchungsobjekt</b></td>
<td>Kritische Objekte</td>
</tr>
<tr height='20'>
<td colspan='2' height='20'>
C:\WINDOWS<br>
C:\DOKUME~1\user1\LOKALE~1\Temp\
</td>
</tr>
<tr height='10'>
<td colspan='2' height='10'>
</td>
</tr>
<tr height='20' bgcolor='#EFEBDE'>
<td colspan='2' height='20'><b>Untersuchungsergebnisse</b></td>
</tr>
<tr height='15'>
<td height='15'>Untersuchte Objekte insgesamt</td>
<td>14858</td>
</tr>
<tr height='15'>
<td height='15'>Viren gefunden</td>
<td>0</td>
</tr>
<tr height='15'>
<td height='15'>Infizierte Objekte gefunden</td>
<td>0</td>
</tr>
<tr height='15'>
<td height='15'>Verdächtige Objekte gefunden</td>
<td>0</td>
</tr>
<tr height='15'>
<td height='15'>Untersuchungszeit</td>
<td>00:10:34</td>
</tr>
</table>
<br>
<table width='100%' border='0'>
<tr height='20' bgcolor='#EFEBDE'>
<td height='20'><b>Name des infizierten Objekts</b></td>
<td width='200'><b>Virusname</b></td>
<td width='100'><b>Letzte Aktion</b></td>
</tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\Debug\PASSWD.LOG </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\SchedLgU.Txt </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edbtmp.log </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\SoftwareDistribution\Download\ccba472a05828aa2a3ee32c96c6466ca\download\BIT1DC.tmp </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\SoftwareDistribution\EventCache\{68465027-E980-4593-90E0-CD9512EAC33C}.bin </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\SoftwareDistribution\ReportingEvents.log </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\CatRoot2\edb.log </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\CatRoot2\edbtmp.log </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\CatRoot2\tmp.edb </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\AppEvent.Evt </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\default </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\default.LOG </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\Internet.evt </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\SAM </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\SAM.LOG </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\SecEvent.Evt </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\SECURITY </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\SECURITY.LOG </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\software </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\software.LOG </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\SysEvent.Evt </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\system </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\config\system.LOG </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\h323log.txt </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\Temp\tmp00003e6d\tmp00000000 </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\WINDOWS\WindowsUpdate.log </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\DOKUME~1\user1\LOKALE~1\Temp\~DF8C43.tmp </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td height='20'>C:\DOKUME~1\user1\LOKALE~1\Temp\~DF8F5C.tmp </td>
<td>Das Objekt ist gesperrt </td>
<td>übersprungen </td>
</tr>
<tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
<tr height='20'>
<td colspan='3' height='20'><b>Die Untersuchung wurde abgeschlossen.</b></td>
</tr>
</table>
</body>
</html>
wieso sind die gespert?
__________________
Gruß,Specialagent

Wenn am Anfang alles schiefgeht,nenne es Version 1.0

Alt 10.05.2008, 16:37   #14
specialagent
 
Problem mit Computer - Standard

Problem mit Computer



Darf ich trotzdem weiter deine Hilfe beanspruchen?
__________________
Gruß,Specialagent

Wenn am Anfang alles schiefgeht,nenne es Version 1.0

Alt 10.05.2008, 16:40   #15
myrtille
/// TB-Ausbilder
 
Problem mit Computer - Standard

Problem mit Computer



Sry, du bist gestern untergegangen.

Hab dein Posting zwar gelesen, aber wohl vergessen zu antworten.

Gesperrt sind Objekte wenn sie zb von anderen Programmen gebraucht werden.
Dabei kann es sich zwar um Viren handeln, in der Regel sind das aber legitime Dateien, die von normalen Anwendungen gebraucht werde.
In deinem Fall sind es alles legitime, zum größtenteil von Windows benötigte, Dateien.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu Problem mit Computer
ad-aware, adobe, antivirus, avira, bho, brauche hilfe, computer, defender, desktop, fast start, heulen, hijack, hijackthis, internet, internet explorer, internet security, logfile, problem, quara, rundll, security, siteadvisor, spyware, stick, system, temp, virus, windows, windows xp



Ähnliche Themen: Problem mit Computer


  1. Problem mit Computer
    Plagegeister aller Art und deren Bekämpfung - 18.08.2014 (5)
  2. A problem has been detected!Computer started nicht
    Plagegeister aller Art und deren Bekämpfung - 30.12.2013 (13)
  3. Dieser Computer hat ein Problem und muss neu gestartet werden
    Plagegeister aller Art und deren Bekämpfung - 29.07.2013 (15)
  4. Ihr Computer ist gesperrt. Die Funktionen ... Bin ich das Problem los?
    Plagegeister aller Art und deren Bekämpfung - 19.06.2013 (85)
  5. Großes Problem: Der Computer ist für die Verletzung der Gesetze der Bundesrepublik...
    Plagegeister aller Art und deren Bekämpfung - 07.10.2012 (12)
  6. spezifisches Problem mit dem Ukash Trojaner "Der Computer ist für die Verletzung der Gesezte der Bundesrepublik....
    Log-Analyse und Auswertung - 25.09.2012 (28)
  7. computer gesperrt 100 € zahlen? problem!
    Log-Analyse und Auswertung - 19.03.2012 (31)
  8. Achtung! Ihr Computer wurde gesperrt. Problem
    Log-Analyse und Auswertung - 06.02.2012 (3)
  9. problem mit virus, der computer sperrt und 50€ will,,,
    Log-Analyse und Auswertung - 02.02.2012 (22)
  10. Großes Problem - Angebliche Computer-Sperre wegen Virus (50€ Zahlen)
    Plagegeister aller Art und deren Bekämpfung - 02.01.2012 (1)
  11. Virus? Wurm? Trojaner? Problem mit Thunderbird, zudem ist mein Computer langsam
    Plagegeister aller Art und deren Bekämpfung - 23.05.2010 (1)
  12. Problem mit O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should...
    Log-Analyse und Auswertung - 12.02.2009 (1)
  13. Vireninfizierter Computer? Spionage, x.bat Problem, Kein Update Möglich
    Log-Analyse und Auswertung - 24.11.2008 (6)
  14. Problem: Warning Spyware detected on your computer
    Log-Analyse und Auswertung - 21.08.2008 (1)
  15. Problem mit Computer
    Plagegeister aller Art und deren Bekämpfung - 22.06.2008 (11)
  16. hartnäckiges Problem mit TR/Crypt.XPACK.Gen auf Laptop und Computer :(
    Plagegeister aller Art und deren Bekämpfung - 27.05.2007 (12)
  17. Problem mit Meldung -Your computer is infected!
    Log-Analyse und Auswertung - 03.01.2006 (3)

Zum Thema Problem mit Computer - Hallo alle zusammen, Ich brauche Hilfe (und bin noob also alles bitte auf "deutsch" ) Fange ich mal an: Ich habe Win XP und hatte folgendes mit Spyware Doctor gefunden: - Problem mit Computer...
Archiv
Du betrachtest: Problem mit Computer auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.