Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Programme starten nicht, nur eine Shell öffnet sich kurz

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.03.2009, 12:38   #16
Schmittbauer
 
Programme starten nicht, nur eine Shell öffnet sich kurz - Standard

Programme starten nicht, nur eine Shell öffnet sich kurz



Hier Teil 2, im nächsten Beitrag geht es weiter, da ist auch die Beschreibung!

.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NVMCTRAY.DLL" [2003-07-28 49152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"type32"="c:\programme\Microsoft IntelliType Pro\type32.exe" [2003-05-16 114688]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-07-28 4841472]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\point32.exe" [2003-05-16 163840]
"Lto Manager"="c:\programme\Quick GPS Connection Data Download Manager\DesktopLtoManager.exe" [2005-06-29 53248]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2004-08-04 160768]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-07-31 1544192]
"nwiz"="nwiz.exe" [2003-07-28 c:\windows\system32\nwiz.exe]
"SerExt"="SerExt.exe" [2005-03-01 c:\windows\system32\SerExt.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
PocketScan Start.lnk.disabled [2008-06-05 579]
Windows Desktop Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2006-10-19 110080]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-10-19 293888]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll
"msacm.clmp3enc"= c:\progra~1\HOMECI~1\Power2Go\CLMP3Enc.ACM

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPI - Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\CAPI - Monitor.lnk
backup=c:\windows\pss\CAPI - Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CardScanAgent]
--a------ 2006-10-20 08:33 176128 c:\programme\CardScan\CardScan\CardScanAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 08:57 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2005-05-27 10:24 310272 c:\programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2007-08-24 07:00 33648 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 13:50 1289000 c:\programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
--a------ 2005-02-03 09:58 40960 c:\programme\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MFPrintServer]
--a------ 2005-04-05 02:37 65536 c:\programme\Companion Suite IH\MFPrintServer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MFServices]
--a------ 2005-04-05 02:29 159744 c:\programme\Companion Suite IH\MFServices.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OneTouch Monitor]
--a------ 2005-04-05 03:24 122880 c:\progra~1\COMPAN~2\ONETOU~3.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlaxoUpdate]
--a------ 2008-11-19 13:49 382023 c:\programme\Plaxo\3.17.0.16\PlaxoHelper_de.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray]
--a------ 2007-10-02 16:27 1065288 c:\programme\Spyware Doctor\SDTrayApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
-ra------ 2003-10-14 10:22 155648 c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
--a------ 2009-02-17 11:43 1830128 c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
--a------ 2006-10-04 15:41 86016 c:\programme\MAGIX\Video_deluxe_2007_SE\Trayserver.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe
"Power2GoExpress"="c:\programme\Home Cinema\Power2Go\Power2GoExpress.exe" /Startup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Games\\Command and Conquer Generals\\game.dat"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Games\\Dune2000\\DUNE2000.DAT"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Home Cinema\\PowerDirector\\PDR.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\WINDOWS\\system32\\sgbxcoms.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-03-19 28544]
R1 mfxnt;mfxnt;c:\windows\system32\drivers\mfxnt.sys [2007-03-25 61288]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024]
R1 uigxrdr;uigxrdr;c:\windows\system32\drivers\uigxrdr.SYS [2007-07-04 148864]
R2 CAPI;CAPI 2.0 Service;c:\windows\system32\drivers\capi.sys [2007-01-29 28740]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [2008-09-10 210216]
R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2008-02-26 29183504]
R2 NDISCAPI;NDIS CAPI Service;c:\windows\system32\drivers\ndiscapi.sys [2007-01-29 41037]
R3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [2005-03-01 8448]
R3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [2005-03-01 53632]
R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [2004-09-08 263751]
R3 HttpUsb;XML interface;c:\windows\system32\drivers\HttpUsb.sys [2007-03-25 31784]
R3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [2004-09-08 50759]
R3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.sys [2005-02-24 162176]
R3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [2005-03-01 113408]
R3 TTDVBUSB;TechnoTrend - TT-DVB USB Driver;c:\windows\system32\drivers\ttdvbusb.sys [2007-03-14 59616]
R3 UsbItf;MF F@X activities;c:\windows\system32\drivers\UsbItf.sys [2007-03-25 10240]
R3 vmdmd;Softmodem/Fax Port Driver;c:\windows\system32\drivers\vmdmd.sys [2003-06-17 185696]
S2 Passwdrenew;Passwdrenew;System32\rnpasswd.exe --> System32\rnpasswd.exe [?]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [2006-07-25 37568]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2009-01-04 1527900]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [2006-07-25 444416]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2008-01-02 264704]
S3 NDISLOOP;Virtual TT-DVB USB Adapter Driver;c:\windows\system32\drivers\ndisloop.sys [2007-03-14 39980]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\svcntaux.exe --> c:\programme\Spyware Doctor\svcntaux.exe [?]
S3 sgbx_device;sgbx_device;c:\windows\system32\sgbxcoms.exe -service --> c:\windows\system32\sgbxcoms.exe -service [?]
S3 telch;Firmware Upload Service;c:\windows\system32\drivers\telch.sys [2007-03-25 33625]
S3 xControlCOM;xControlCOM;c:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [2005-03-01 327680]
.
Inhalt des "geplante Tasks" Ordners

2009-03-26 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 00:54]

2009-03-20 c:\windows\Tasks\Norton Security Scan.job
- c:\programme\Norton Security Scan\Nss.exe [2007-09-18 23:42]

2009-03-25 c:\windows\Tasks\User_Feed_Synchronization-{D7CACACC-420D-4F2A-A877-00C5917C46A0}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 11:58]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-CardScan AutoSync - (no file)
HKLM-Run-pdfSaver3 - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
Trusted Zone: mh-beratung.com\www
FF - ProfilePath -
.
.
------- Dateityp-Verknüpfung -------
.
chm.file=%SystemRoot%\System32\CScript.exe "%1" %*
inffile=%SystemRoot%\System32\CScript.exe "%1" %*
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-26 18:33:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(660)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-26 18:35:44
ComboFix-quarantined-files.txt 2009-03-26 17:35:31
ComboFix2.txt 2009-03-22 12:20:14

Vor Suchlauf: 23 Verzeichnis(se), 39.256.911.872 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 39,303,544,832 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

485 --- E O F --- 2009-03-16 02:32:08

*****************************************

Vielen Dank für Eure Hilfe!!!

Alt 29.03.2009, 12:41   #17
Schmittbauer
 
Programme starten nicht, nur eine Shell öffnet sich kurz - Standard

Programme starten nicht, nur eine Shell öffnet sich kurz



Hier das ComboFix-log Teil 1a, passte nicht mehr in den anderen Beitrag. Bitte meine Einträge von heute davor lesen!!!

ComboFix: *****************************************
ComboFix 09-03-25.04 - Administrator 2009-03-26 18:32:20.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1535.1093 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Eventuell infizierte Webseiten -----

hxxp://gllto.glpals.com
.
((((((((((((((((((((((( Dateien erstellt von 2009-02-26 bis 2009-03-26 ))))))))))))))))))))))))))))))
.

2009-03-22 22:56 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-22 22:31 . 2009-03-22 22:31 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-03-22 15:34 . 2001-08-18 04:52 66,048 --a--c--- c:\windows\system32\dllcache\s3legacy.dll
2009-03-22 13:33 . 2009-03-22 13:33 <DIR> d-------- c:\windows\system32\config\systemprofile\Anwendungsdaten\SACore
2009-03-21 09:15 . 2009-03-21 09:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-20 22:41 . 2009-03-20 22:41 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\Windows Desktop Search
2009-03-20 22:41 . 2009-03-20 22:41 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\ATI
2009-03-20 22:32 . 2009-03-20 22:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-20 22:31 . 2009-03-20 22:31 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-03-20 22:31 . 2009-03-20 22:31 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-20 20:21 . 2009-03-20 20:21 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\Malwarebytes
2009-03-20 20:20 . 2009-03-20 20:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-20 20:20 . 2009-03-20 20:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-20 20:20 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-20 20:20 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-19 20:22 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2009-03-19 20:20 . 2009-03-19 20:20 <DIR> d-------- c:\programme\Panda Security
2009-03-16 09:24 . 2009-03-16 09:24 <DIR> d-------- c:\programme\TweakNow RegCleaner Std
2009-03-16 08:53 . 2009-03-16 08:53 <DIR> d-------- c:\programme\Process Revealer Free Edition
2009-03-16 08:53 . 2009-03-16 08:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\prfree
2009-03-16 08:43 . 2009-03-16 08:43 <DIR> d-------- c:\programme\Daphne
2009-03-15 23:33 . 2009-03-15 23:39 <DIR> d-------- c:\programme\Wise Registry Cleaner 3
2009-03-15 21:03 . 2009-03-22 13:12 <DIR> dr------- c:\dokumente und einstellungen\pcadmin\Eigene Dateien
2009-03-08 17:50 . 2006-07-25 14:43 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Vorlagen
2009-03-08 17:50 . 2006-07-25 15:37 <DIR> dr------- c:\dokumente und einstellungen\pcadmin\Startmenü
2009-03-08 17:50 . 2009-03-22 10:56 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Netzwerkumgebung
2009-03-08 17:50 . 2009-03-26 18:33 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Lokale Einstellungen
2009-03-08 17:50 . 2009-03-20 22:34 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Favoriten
2009-03-08 17:50 . 2006-07-25 15:37 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Druckumgebung
2009-03-08 17:50 . 2009-03-20 22:41 <DIR> dr-h----- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten
2009-03-08 17:50 . 2009-03-22 19:10 <DIR> d-------- c:\dokumente und einstellungen\pcadmin
2009-03-06 17:52 . 2009-03-06 18:04 788,714,300 --a------ c:\dokumente und einstellungen\Administrator\Eigene Dateien.zip
2009-03-06 17:01 . 2004-08-04 08:56 98,304 --a------ c:\windows\system32\cscript_alt.exe
2009-03-06 16:29 . 2009-03-06 16:29 <DIR> d--hs---- C:\$RECYCLE.BIN

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-26 16:39 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-26 16:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-03-26 15:51 --------- d-----w c:\programme\Plaxo
2009-03-25 15:22 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-03-25 15:19 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-22 10:32 --------- d-----w c:\programme\McAfee
2009-03-22 09:59 --------- d-----w c:\programme\CCleaner
2009-03-20 21:52 --------- d-----w c:\programme\Companion OneTouch
2009-03-20 21:31 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-15 22:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-06 17:13 --------- d-----w c:\programme\Spyware Doctor
2009-03-06 16:16 --------- d-----w c:\programme\Ad-Aware
2009-03-06 15:19 98,304 ----a-w c:\windows\system32\cscript.exe
2009-03-04 09:24 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-03-04 09:23 --------- d-----w c:\programme\Norton Security Scan
2009-03-01 21:49 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore
2009-02-23 12:37 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-02-15 22:33 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SiteAdvisor
2009-02-15 17:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-02-04 08:06 --------- d-----w c:\programme\FreePDF_XP
2008-08-20 08:37 14,852 ----a-w c:\programme\settings.dat
2008-01-30 07:05 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-11-28 19:28 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2007-11-28 19:28 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2007-11-28 19:28 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2007-11-28 19:28 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2007-11-28 19:28 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
2008-01-03 09:06 51,559,456 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-01-03 09:07 2,370,592 --sha-w c:\windows\system32\drivers\fidbox2.dat
__________________


Alt 29.03.2009, 12:42   #18
Schmittbauer
 
Programme starten nicht, nur eine Shell öffnet sich kurz - Standard

Programme starten nicht, nur eine Shell öffnet sich kurz



Hier das ComboFix-log Teil 1b, passte nicht mehr in den anderen Beitrag. Bitte meine Einträge von heute davor lesen!!!

((((((((((((((((((((((((((((( SnapShot@2009-03-22_13.19.19,15 )))))))))))))))))))))))))))))))))))))))))
.
+ 2001-08-17 13:06:48 11,264 -c--a-w c:\windows\system32\dllcache\1394vdbg.sys
+ 2001-08-17 12:28:00 762,780 -c--a-w c:\windows\system32\dllcache\3cwmcru.sys
+ 2001-08-18 03:52:40 689,216 -c--a-w c:\windows\system32\dllcache\3dfxvs.dll
+ 2001-08-17 11:48:32 148,352 -c--a-w c:\windows\system32\dllcache\3dfxvsm.sys
+ 2004-08-04 07:00:04 12,288 -c--a-w c:\windows\system32\dllcache\4mmdat.sys
+ 2001-08-18 03:52:40 38,400 -c--a-w c:\windows\system32\dllcache\8514a.dll
+ 2001-09-19 11:32:26 720,896 -c--a-w c:\windows\system32\dllcache\a3d.dll
+ 2001-08-18 03:52:56 462,848 -c--a-w c:\windows\system32\dllcache\a3dapi.dll
+ 2001-08-17 12:52:00 23,552 -c--a-w c:\windows\system32\dllcache\abp480n5.sys
+ 2002-08-28 22:00:48 231,552 -c--a-w c:\windows\system32\dllcache\ac97ali.sys
+ 2001-08-17 11:20:04 96,256 -c--a-w c:\windows\system32\dllcache\ac97intc.sys
+ 2001-08-17 11:20:16 297,728 -c--a-w c:\windows\system32\dllcache\ac97sis.sys
+ 2002-08-28 22:00:56 84,480 -c--a-w c:\windows\system32\dllcache\ac97via.sys
+ 2004-08-04 07:57:40 188,416 -c--a-w c:\windows\system32\dllcache\accwiz.exe
+ 2001-08-18 03:52:56 61,952 -c--a-w c:\windows\system32\dllcache\acerscad.dll
+ 2004-08-04 07:57:14 1,852,416 -c--a-w c:\windows\system32\dllcache\acgenral.dll
+ 2004-08-04 07:57:14 450,048 -c--a-w c:\windows\system32\dllcache\aclayers.dll
+ 2004-08-04 07:57:14 137,728 -c--a-w c:\windows\system32\dllcache\aclua.dll
+ 2004-08-04 07:57:14 120,320 -c--a-w c:\windows\system32\dllcache\aclui.dll
+ 2004-08-04 07:37:03 188,800 -c--a-w c:\windows\system32\dllcache\acpi.sys
+ 2003-07-21 21:31:24 12,160 -c--a-w c:\windows\system32\dllcache\acpiec.sys
+ 2004-08-04 07:57:14 244,736 -c--a-w c:\windows\system32\dllcache\acspecfc.dll
+ 2004-08-04 07:57:14 194,560 -c--a-w c:\windows\system32\dllcache\activeds.dll
+ 2004-08-04 07:57:40 4,096 -c--a-w c:\windows\system32\dllcache\actmovie.exe
+ 2004-08-04 07:57:14 101,888 -c--a-w c:\windows\system32\dllcache\actxprxy.dll
+ 2004-08-04 07:57:14 116,224 -c--a-w c:\windows\system32\dllcache\acxtrnal.dll
+ 2001-08-17 12:53:02 7,424 -c--a-w c:\windows\system32\dllcache\adicvls.sys
+ 2001-08-17 11:11:18 20,160 -c--a-w c:\windows\system32\dllcache\adm8511.sys
+ 2001-08-17 11:19:10 584,448 -c--a-w c:\windows\system32\dllcache\adm8810.sys
+ 2001-08-17 11:19:14 553,984 -c--a-w c:\windows\system32\dllcache\adm8820.sys
+ 2001-08-17 11:19:14 747,392 -c--a-w c:\windows\system32\dllcache\adm8830.sys
+ 2004-08-04 07:57:14 29,696 -c--a-w c:\windows\system32\dllcache\admexs.dll
+ 2004-08-04 07:57:14 20,540 -c--a-w c:\windows\system32\dllcache\admin.dll
+ 2004-08-04 07:57:41 16,439 -c--a-w c:\windows\system32\dllcache\admin.exe
+ 2002-08-28 22:00:48 10,880 -c--a-w c:\windows\system32\dllcache\admjoy.sys
+ 2004-08-04 07:57:14 43,520 -c--a-w c:\windows\system32\dllcache\admwprox.dll
+ 2001-08-17 11:11:16 46,112 -c--a-w c:\windows\system32\dllcache\adptsf50.sys
+ 2001-08-17 13:07:32 101,888 -c--a-w c:\windows\system32\dllcache\adpu160m.sys
+ 2004-08-04 07:57:14 290,816 -c--a-w c:\windows\system32\dllcache\adsiis51.dll
+ 2004-08-04 07:57:14 175,616 -c--a-w c:\windows\system32\dllcache\adsldp.dll
+ 2004-08-04 07:57:14 143,360 -c--a-w c:\windows\system32\dllcache\adsldpc.dll
+ 2004-08-04 07:57:14 68,096 -c--a-w c:\windows\system32\dllcache\adsmsext.dll
+ 2004-08-04 07:57:14 263,680 -c--a-w c:\windows\system32\dllcache\adsnt.dll
+ 2004-08-04 07:57:14 4,255 -c--a-w c:\windows\system32\dllcache\adv01nt5.dll
+ 2004-08-04 07:57:14 3,967 -c--a-w c:\windows\system32\dllcache\adv02nt5.dll
+ 2004-08-04 07:57:14 3,615 -c--a-w c:\windows\system32\dllcache\adv05nt5.dll
+ 2004-08-04 07:57:14 3,647 -c--a-w c:\windows\system32\dllcache\adv07nt5.dll
+ 2004-08-04 07:57:14 3,135 -c--a-w c:\windows\system32\dllcache\adv08nt5.dll
+ 2004-08-04 07:57:14 3,711 -c--a-w c:\windows\system32\dllcache\adv09nt5.dll
+ 2004-08-04 07:57:14 3,775 -c--a-w c:\windows\system32\dllcache\adv11nt5.dll
+ 2004-08-04 07:57:14 677,888 -c--a-w c:\windows\system32\dllcache\advapi32.dll
+ 2006-02-15 00:22:26 142,464 -c--a-w c:\windows\system32\dllcache\aec.sys
+ 2004-08-04 07:57:14 24,064 -c--a-w c:\windows\system32\dllcache\agentanm.dll
+ 2004-08-04 07:57:14 214,016 -c--a-w c:\windows\system32\dllcache\agentctl.dll
+ 2004-08-04 07:57:14 49,152 -c--a-w c:\windows\system32\dllcache\agentmpx.dll
+ 2004-08-04 07:57:14 24,064 -c--a-w c:\windows\system32\dllcache\agentpsh.dll
+ 2004-08-04 07:57:14 44,032 -c--a-w c:\windows\system32\dllcache\agentsr.dll
+ 2004-08-04 06:07:41 42,368 -c--a-w c:\windows\system32\dllcache\agp440.sys
+ 2004-08-04 06:07:42 44,928 -c--a-w c:\windows\system32\dllcache\agpcpq.sys
+ 2004-08-04 07:57:14 24,064 -c--a-w c:\windows\system32\dllcache\agtintl.dll
+ 2001-08-17 12:52:02 12,800 -c--a-w c:\windows\system32\dllcache\aha154x.sys
+ 2004-08-04 07:57:41 98,304 -c--a-w c:\windows\system32\dllcache\ahui.exe
+ 2001-08-17 13:07:36 55,168 -c--a-w c:\windows\system32\dllcache\aic78u2.sys
+ 2004-08-04 07:57:14 126,976 -c--a-w c:\windows\system32\dllcache\apphelp.dll
+ 2004-08-04 07:57:14 65,024 -c--a-w c:\windows\system32\dllcache\asycfilt.dll
+ 2004-08-04 07:57:14 30,208 -c--a-w c:\windows\system32\dllcache\atmlib.dll
+ 2004-08-04 07:57:14 20,540 -c--a-w c:\windows\system32\dllcache\author.dll
+ 2004-08-04 07:57:41 16,439 -c--a-w c:\windows\system32\dllcache\author.exe
+ 2004-08-04 07:54:38 16,896 -c--a-w c:\windows\system32\dllcache\cfgmgr32.dll
+ 2004-08-04 07:57:44 188,480 -c--a-w c:\windows\system32\dllcache\cfgwiz.exe
+ 2004-08-04 07:57:16 47,104 -c--a-w c:\windows\system32\dllcache\coadmin.dll
+ 2004-08-04 07:57:16 281,088 -c--a-w c:\windows\system32\dllcache\comdlg32.dll
+ 2004-08-04 07:57:16 253,440 -c--a-w c:\windows\system32\dllcache\compatui.dll
+ 2004-08-04 07:57:16 602,624 -c--a-w c:\windows\system32\dllcache\crypt32.dll
+ 2004-08-04 07:57:16 76,800 -c--a-w c:\windows\system32\dllcache\cryptdlg.dll
+ 2004-08-04 07:57:16 33,280 -c--a-w c:\windows\system32\dllcache\cryptdll.dll
+ 2004-08-04 07:57:16 54,784 -c--a-w c:\windows\system32\dllcache\cryptext.dll
+ 2004-08-04 07:57:16 63,488 -c--a-w c:\windows\system32\dllcache\cryptnet.dll
+ 2004-08-04 07:57:16 60,416 -c--a-w c:\windows\system32\dllcache\cryptsvc.dll
+ 2004-08-04 07:57:16 530,944 -c--a-w c:\windows\system32\dllcache\cryptui.dll
+ 2004-08-04 07:58:31 299,520 -c--a-w c:\windows\system32\dllcache\drmclien.dll
+ 2004-08-04 07:57:17 87,040 -c--a-w c:\windows\system32\dllcache\drmstor.dll
+ 2004-08-04 07:57:17 16,384 -c--a-w c:\windows\system32\dllcache\ds32gt.dll
+ 2004-08-04 05:31:43 137,216 -c--a-w c:\windows\system32\dllcache\dssenh.dll
+ 2004-08-04 07:57:18 380,957 -c--a-w c:\windows\system32\dllcache\expsrv.dll
+ 2004-08-04 06:14:16 143,360 -c--a-w c:\windows\system32\dllcache\fastfat.sys
+ 2004-08-04 07:57:18 184,435 -c--a-w c:\windows\system32\dllcache\fp4amsft.dll
+ 2004-08-04 07:57:18 82,035 -c--a-w c:\windows\system32\dllcache\fp4anscp.dll
+ 2004-08-04 07:57:18 147,513 -c--a-w c:\windows\system32\dllcache\fp4apws.dll
+ 2004-08-04 07:57:18 49,210 -c--a-w c:\windows\system32\dllcache\fp4areg.dll
+ 2004-08-04 07:57:18 102,509 -c--a-w c:\windows\system32\dllcache\fp4atxt.dll
+ 2004-08-04 07:57:18 41,020 -c--a-w c:\windows\system32\dllcache\fp4avnb.dll
+ 2004-08-04 07:57:19 32,826 -c--a-w c:\windows\system32\dllcache\fp4avss.dll
+ 2004-08-04 07:57:19 49,212 -c--a-w c:\windows\system32\dllcache\fp4awebs.dll
+ 2004-08-04 07:57:19 876,653 -c--a-w c:\windows\system32\dllcache\fp4awel.dll
+ 2004-08-04 07:57:54 15,120 -c--a-w c:\windows\system32\dllcache\fp98sadm.exe
+ 2004-08-04 07:57:54 109,840 -c--a-w c:\windows\system32\dllcache\fp98swin.exe
+ 2004-08-04 07:57:54 188,494 -c--a-w c:\windows\system32\dllcache\fpcount.exe
+ 2004-08-04 07:57:19 20,541 -c--a-w c:\windows\system32\dllcache\fpexedll.dll
+ 2004-08-04 07:57:19 598,071 -c--a-w c:\windows\system32\dllcache\fpmmc.dll
+ 2004-08-04 07:54:56 217,088 -c--a-w c:\windows\system32\dllcache\fpmmcsat.dll
+ 2004-08-04 07:57:54 20,538 -c--a-w c:\windows\system32\dllcache\fpremadm.exe
+ 2004-08-04 07:57:21 68,608 -c--a-w c:\windows\system32\dllcache\iisext51.dll
+ 2004-08-04 07:57:21 64,512 -c--a-w c:\windows\system32\dllcache\iismap.dll
+ 2004-08-04 07:57:57 30,720 -c--a-w c:\windows\system32\dllcache\iisrstas.exe
+ 2004-08-04 07:57:21 133,632 -c--a-w c:\windows\system32\dllcache\iisrtl.dll
+ 2004-08-04 07:57:21 36,921 -c--a-w c:\windows\system32\dllcache\imeshare.dll
+ 2004-08-04 07:57:21 847,360 -c--a-w c:\windows\system32\dllcache\inetmgr.dll
+ 2004-08-04 07:57:21 13,312 -c--a-w c:\windows\system32\dllcache\infoadmn.dll
+ 2004-08-04 06:14:28 74,752 -c--a-w c:\windows\system32\dllcache\ipsec.sys
+ 2004-08-04 07:57:21 68,608 -c--a-w c:\windows\system32\dllcache\isatq.dll
+ 2005-05-27 02:04:47 155,136 -c--a-w c:\windows\system32\dllcache\itircl.dll
+ 2005-05-27 02:04:47 137,216 -c--a-w c:\windows\system32\dllcache\itss.dll
+ 2006-10-18 20:47:14 11,264 -c--a-w c:\windows\system32\dllcache\laprxy.dll
+ 2004-08-04 07:57:23 1,028,096 -c--a-w c:\windows\system32\dllcache\mfc42.dll
+ 2004-08-04 07:57:23 22,528 -c--a-w c:\windows\system32\dllcache\mfcsubs.dll
+ 2004-08-04 07:58:03 4,639 -c--a-w c:\windows\system32\dllcache\mplayer2.exe
+ 2004-08-04 07:55:25 20,480 -c--a-w c:\windows\system32\dllcache\msadcer.dll
+ 2004-08-04 07:57:24 61,440 -c--a-w c:\windows\system32\dllcache\msadcf.dll
+ 2004-08-04 07:55:25 16,384 -c--a-w c:\windows\system32\dllcache\msadcfr.dll
+ 2006-03-23 05:46:11 143,360 -c--a-w c:\windows\system32\dllcache\msadco.dll
+ 2004-08-04 07:55:25 16,384 -c--a-w c:\windows\system32\dllcache\msadcor.dll
+ 2004-08-04 07:57:24 53,248 -c--a-w c:\windows\system32\dllcache\msadcs.dll
+ 2004-08-04 07:57:24 155,648 -c--a-w c:\windows\system32\dllcache\msadds.dll
+ 2004-08-04 07:55:25 24,576 -c--a-w c:\windows\system32\dllcache\msaddsr.dll
+ 2004-08-04 07:55:25 28,672 -c--a-w c:\windows\system32\dllcache\msader15.dll
+ 2004-08-04 07:57:24 57,344 -c--a-w c:\windows\system32\dllcache\msador15.dll
+ 2004-08-04 07:57:24 57,344 -c--a-w c:\windows\system32\dllcache\msadrh15.dll
+ 2004-08-04 07:57:24 36,864 -c--a-w c:\windows\system32\dllcache\mscpxl32.dll
+ 2004-08-04 07:57:24 4,096 -c--a-w c:\windows\system32\dllcache\msdadc.dll
+ 2004-08-04 07:57:24 4,096 -c--a-w c:\windows\system32\dllcache\msdaenum.dll
+ 2004-08-04 07:57:24 4,096 -c--a-w c:\windows\system32\dllcache\msdaer.dll
+ 2004-08-04 07:57:25 233,472 -c--a-w c:\windows\system32\dllcache\msdaora.dll
+ 2004-08-04 07:57:25 77,824 -c--a-w c:\windows\system32\dllcache\msdaosp.dll
+ 2004-08-04 07:55:26 16,384 -c--a-w c:\windows\system32\dllcache\msdaprsr.dll
+ 2004-08-04 07:57:25 200,704 -c--a-w c:\windows\system32\dllcache\msdaprst.dll
+ 2004-08-04 07:57:25 204,800 -c--a-w c:\windows\system32\dllcache\msdaps.dll
+ 2004-08-04 07:57:25 118,784 -c--a-w c:\windows\system32\dllcache\msdarem.dll
+ 2004-08-04 07:55:26 16,384 -c--a-w c:\windows\system32\dllcache\msdaremr.dll
+ 2004-08-04 07:57:25 4,096 -c--a-w c:\windows\system32\dllcache\msdasc.dll
+ 2004-08-04 07:57:25 315,392 -c--a-w c:\windows\system32\dllcache\msdasql.dll
+ 2004-08-04 07:55:27 16,384 -c--a-w c:\windows\system32\dllcache\msdasqlr.dll
+ 2004-08-04 07:57:25 20,480 -c--a-w c:\windows\system32\dllcache\msdatt.dll
+ 2004-08-04 07:57:25 4,096 -c--a-w c:\windows\system32\dllcache\msdaurl.dll
+ 2004-08-04 07:57:25 36,864 -c--a-w c:\windows\system32\dllcache\msdfmap.dll
+ 2004-08-04 07:55:27 4,126 -c--a-w c:\windows\system32\dllcache\msdxmlc.dll
+ 2004-08-04 07:57:28 143,360 -c--a-w c:\windows\system32\dllcache\msorcl32.dll
+ 2004-08-04 07:57:28 343,040 -c--a-w c:\windows\system32\dllcache\msvcrt.dll
+ 2004-08-04 05:58:25 61,440 -c--a-w c:\windows\system32\dllcache\msvcrt40.dll
+ 2004-08-04 07:57:29 24,576 -c--a-w c:\windows\system32\dllcache\msxactps.dll
+ 2004-08-04 06:14:31 91,776 -c--a-w c:\windows\system32\dllcache\ndiswan.sys
+ 2004-08-04 07:57:31 10,240 -c--a-w c:\windows\system32\dllcache\npwmsdrm.dll
+ 2004-08-04 07:57:08 733,696 -c--a-w c:\windows\system32\dllcache\ntdll.dll
+ 2004-08-04 07:57:31 249,856 -c--a-w c:\windows\system32\dllcache\odbc32.dll
+ 2004-08-04 07:57:31 16,384 -c--a-w c:\windows\system32\dllcache\odbc32gt.dll
+ 2004-08-04 07:58:07 32,768 -c--a-w c:\windows\system32\dllcache\odbcad32.exe
+ 2004-08-04 07:57:31 135,168 -c--a-w c:\windows\system32\dllcache\odbcconf.dll
+ 2004-08-04 07:58:07 69,632 -c--a-w c:\windows\system32\dllcache\odbcconf.exe
+ 2004-08-04 07:57:31 106,496 -c--a-w c:\windows\system32\dllcache\odbccp32.dll
+ 2004-08-04 07:57:31 65,536 -c--a-w c:\windows\system32\dllcache\odbccr32.dll
+ 2004-08-04 07:57:31 65,536 -c--a-w c:\windows\system32\dllcache\odbccu32.dll
+ 2004-08-04 07:55:51 102,400 -c--a-w c:\windows\system32\dllcache\odbcint.dll
+ 2004-08-04 07:55:51 57,616 -c--a-w c:\windows\system32\dllcache\odbcji32.dll
+ 2004-08-04 07:57:31 278,559 -c--a-w c:\windows\system32\dllcache\odbcjt32.dll
+ 2004-08-04 07:57:31 147,456 -c--a-w c:\windows\system32\dllcache\odbctrac.dll
+ 2004-08-04 07:57:31 20,511 -c--a-w c:\windows\system32\dllcache\oddbse32.dll
+ 2004-08-04 07:57:31 20,510 -c--a-w c:\windows\system32\dllcache\odexl32.dll
+ 2004-08-04 07:57:31 20,510 -c--a-w c:\windows\system32\dllcache\odfox32.dll
+ 2004-08-04 07:57:31 20,510 -c--a-w c:\windows\system32\dllcache\odpdx32.dll
+ 2004-08-04 07:57:31 20,511 -c--a-w c:\windows\system32\dllcache\odtext32.dll
+ 2005-07-26 04:39:49 1,285,120 -c--a-w c:\windows\system32\dllcache\ole32.dll
+ 2004-08-04 07:57:31 487,424 -c--a-w c:\windows\system32\dllcache\oledb32.dll
+ 2004-08-04 07:57:31 73,728 -c--a-w c:\windows\system32\dllcache\oledb32r.dll
+ 2004-08-04 07:57:32 83,456 -c--a-w c:\windows\system32\dllcache\olepro32.dll
+ 2004-08-04 05:31:43 152,576 -c--a-w c:\windows\system32\dllcache\rsaenh.dll
+ 2004-08-04 07:57:33 64,000 -c--a-w c:\windows\system32\dllcache\samlib.dll
+ 2004-08-04 07:57:33 429,568 -c--a-w c:\windows\system32\dllcache\samsrv.dll
+ 2004-08-04 07:57:33 159,744 -c--a-w c:\windows\system32\dllcache\scrobj.dll
+ 2004-08-04 07:57:33 151,552 -c--a-w c:\windows\system32\dllcache\scrrun.dll
+ 2004-08-04 07:58:11 78,336 -c--a-w c:\windows\system32\dllcache\sdbinst.exe
+ 2004-08-02 12:20:40 4,569 -c--a-w c:\windows\system32\dllcache\secupd.dat
+ 2004-08-03 22:57:34 988,672 -c--a-w c:\windows\system32\dllcache\setupapi.dll
+ 2004-08-04 07:57:33 5,120 -c--a-w c:\windows\system32\dllcache\sfc.dll
+ 2004-08-04 07:57:33 1,548,288 -c--a-w c:\windows\system32\dllcache\sfcfiles.dll
+ 2004-08-04 07:57:33 65,536 -c--a-w c:\windows\system32\dllcache\shimeng.dll
+ 2004-08-04 07:57:34 20,536 -c--a-w c:\windows\system32\dllcache\shtml.dll
+ 2004-08-04 07:58:12 16,437 -c--a-w c:\windows\system32\dllcache\shtml.exe
+ 2004-08-04 07:57:34 25,600 -c--a-w c:\windows\system32\dllcache\slayerxp.dll
+ 2004-08-04 07:57:34 189,952 -c--a-w c:\windows\system32\dllcache\smtpadm.dll
+ 2004-08-04 07:57:34 2,134,528 -c--a-w c:\windows\system32\dllcache\smtpsnap.dll
+ 2004-08-04 07:57:35 8,192 -c--a-w c:\windows\system32\dllcache\staxmem.dll
+ 2004-08-04 07:58:15 108,032 -c--a-w c:\windows\system32\dllcache\sysocmgr.exe
+ 2004-08-04 07:58:15 32,827 -c--a-w c:\windows\system32\dllcache\tcptest.exe
+ 2004-08-04 07:56:35 16,384 -c--a-w c:\windows\system32\dllcache\tcptsat.dll
+ 2005-08-23 03:39:57 124,416 -c--a-w c:\windows\system32\dllcache\umpnpmgr.dll
+ 2007-06-29 10:02:06 318,464 -c--a-w c:\windows\system32\dllcache\unregmp2.exe
+ 2004-08-04 07:57:36 30,749 -c--a-w c:\windows\system32\dllcache\vbajet32.dll
+ 2004-08-04 07:58:19 507,392 -c--a-w c:\windows\system32\dllcache\winlogon.exe
+ 2004-08-04 07:57:37 176,640 -c--a-w c:\windows\system32\dllcache\wintrust.dll
- 2007-11-08 17:03:26 21,248 ----a-w c:\windows\system32\drivers\ssmdrv.sys
+ 2009-02-13 10:49:58 28,376 ----a-w c:\windows\system32\drivers\ssmdrv.sys
+ 2008-07-29 07:05:06 161,784 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_d01483b2\atl90.dll
+ 2008-07-29 02:54:08 225,280 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcm90.dll
+ 2008-07-29 07:05:08 572,928 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcp90.dll
+ 2008-07-29 07:05:08 655,872 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcr90.dll
+ 2008-07-29 07:05:08 3,768,312 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90.dll
+ 2008-07-29 07:05:10 3,783,672 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90u.dll
+ 2008-07-29 05:07:42 59,904 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90.dll
+ 2008-07-29 05:07:42 59,904 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90u.dll
+ 2008-07-29 07:05:06 38,912 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90chs.dll
+ 2008-07-29 07:05:06 39,936 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90cht.dll
+ 2008-07-29 07:05:08 66,560 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90deu.dll
+ 2008-07-29 07:05:08 56,832 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90enu.dll
+ 2008-07-29 07:05:06 65,024 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esn.dll
+ 2008-07-29 07:05:08 65,024 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esp.dll
+ 2008-07-29 07:05:06 66,048 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90fra.dll
+ 2008-07-29 07:05:08 64,512 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90ita.dll
+ 2008-07-29 07:05:08 46,592 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90jpn.dll
+ 2008-07-29 07:05:08 46,080 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90kor.dll
+ 2008-07-29 07:05:08 62,976 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90rus.dll
+ 2007-11-07 01:19:20 54,272 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.OpenMP_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_ecc42bd1\vcomp90.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
__________________

Alt 29.03.2009, 16:17   #19
undoreal
/// AVZ-Toolkit Guru
 
Programme starten nicht, nur eine Shell öffnet sich kurz - Standard

Programme starten nicht, nur eine Shell öffnet sich kurz



Das du die Registrierungs Änderungen mit Spybot nicht zugelassen hast war das beste was du hättest machen können!
Allerdings hat es dich scheinbar nicht davor bewahrt einen Rückfall zu erleiden.

Ganz ehrlich: Ich würde den Rechner neuaufsetzten. Mit dem Macromedia Rootkit ist nicht zu Spaßen.

Du kannst vorher mal gucken ob Scans mit LiveCDs den Schädling zu fassen bekommen:

Kaspersky LiveCD:

Downloade die Iso Datei von hier: http://dnl-eu10.kaspersky-labs.com/d...ds/RescueDisk/
Brenne die Iso Datei mit einem Brennprogramm deiner Wahl. Kostenlos und gut ist zum Beispiel der CdBurnerXP
Einfach die iso Datei als Daten-CD auf einen leeren Rohling brennen.
Lege die Cd ins Laufwerk ein und starte den Rechner neu. Er sollte nun von der CD booten und das Mini-Betriebssystem starten. Wenn der Rechner nicht von der CD bootet sondern ganz normal Windows startet musst du im BIOS den boot device ändern.(Google Hilft )
Kasperksy09 wird bereits gestartet sein. Klicke auf Update -> Update starten und warte bis die Aufgabe beendet wurde und die Siganturen aktuell sind.
Setze unter Settings -> Scan: den Haken bei All Archives.
Wähle unter Settings -> Threads and Exclusions -> Settings: alle Bedrohungen aus. Einen Haken musst du selber für "other Programms" setzen.
Wähle dann im Hauptfenster alle deine Festplatten sowie die Laufwerksbootsektoren aus (einfach alles auswählen!) und starte den Scan.
Ist der Scan beendet rufe das log auf und speichere es.


Panda:

http://acs.pandasoftware.com/soporte...safedisk32.zip

Wie oben beschrieben brennen. Wenn du ein Disketten Laufwerk hast speichere den Bericht bitte auf einer Diskette und poste ihn uns dann. Wenn du kein DiskLaufwerk hast dann musst du die Funde abschreiben!!!! Unbedingt den kompletten Dateipfad und den Schädlingsnamen abschreiben! Da ist sehr wichtig!
Auch alle verdächtigen Dateien und ScanFehler abschreiben! Quasi den ganzen Bericht..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 29.03.2009, 17:06   #20
Schmittbauer
 
Programme starten nicht, nur eine Shell öffnet sich kurz - Standard

Programme starten nicht, nur eine Shell öffnet sich kurz



Werde das mit der LiveCD versuchen und ansonsten den Rechner neu aufsetzen. Ich muss vorher nur noch vorher meine Daten sichern. Dazu zwei Fragen:

1. Wie bekomme ich nach ComboFix meine USB und CD/DVD-Funktionalität wieder?
2. Ist davon auszugehen, dass "das Böse" sich irgendwo im Windows-Verzeichnis befindet, sprich ich meine Docs und Xls' etc. gefahrlos auf dem neuen Rechner verwenden kann?

P.S.: War den in den Log-Files was auffälliges zu sehen?


Alt 30.03.2009, 15:57   #21
undoreal
/// AVZ-Toolkit Guru
 
Programme starten nicht, nur eine Shell öffnet sich kurz - Standard

Programme starten nicht, nur eine Shell öffnet sich kurz



Zitat:
1. Wie bekomme ich nach ComboFix meine USB und CD/DVD-Funktionalität wieder?
Die solltest du deaktivert lassen. CF ändert nur den RegSchlüssel der für den Autorun verantwortlich ist. Autorun birgt ein erhebliches Sicherheitsrisiko und sollte deaktivert bleiben. Braucht man ja sowieso nicht...

Wenn die LiveCD Suche Ergebnisse bringt dann poste diese! Dann machen wir mit der Bereinigung weiter.

Ansonsten:

Bereinigung nach einer Kompromitierung


Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________
--> Programme starten nicht, nur eine Shell öffnet sich kurz

Alt 31.03.2009, 21:01   #22
Schmittbauer
 
Programme starten nicht, nur eine Shell öffnet sich kurz - Standard

Programme starten nicht, nur eine Shell öffnet sich kurz



LiveCDs sind durch, Panda hat nichts gefunden und das log von Kapersky sieht so aus:

Scan: completed 3/31/09 11:06 AM (events: 59, objects: , time: 00:00:00)
3/31/09 11:06 AM Task completed
3/30/09 11:33 PM Deleted: not-a-virus:RemoteAdmin.Win32.WinVNC.4 /discs/C:/Festplatte D/Software Sources/Clients-Guide30_Demo.exe
3/30/09 11:31 PM Detected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 /discs/C:/Festplatte D/Software Sources/Clients-Guide30_Demo.exe/file110
3/30/09 11:28 PM Password protected /discs/C:/Dokumente und Einstellungen/pcadmin/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-21-2009 - 07-50-23.SBU/backup.db
3/30/09 11:28 PM Password protected /discs/C:/Dokumente und Einstellungen/pcadmin/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-21-2009 - 07-50-23.SBU/{2A52FBEE-8688-479E-AAC9-EA60A5698148}
3/30/09 11:27 PM Password protected /discs/C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/Spybot - Search & Destroy/Recovery/ZlobIVideoCodec.zip/sbRecovery.ini
3/30/09 11:27 PM Password protected /discs/C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/Spybot - Search & Destroy/Recovery/ZlobIVideoCodec.zip/sbRecovery.reg
3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld~1.mgz/MeinGeld.mgd
3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld(2)~5.mgz/MeinGeld(2).mgd
3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld(2)~4.mgz/MeinGeld(2).mgd
3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld(2)~3.mgz/MeinGeld(2).mgd
3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld(2)~2.mgz/MeinGeld(2).mgd
3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld(2)~1.mgz/MeinGeld(2).mgd
3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/MeinGeld.mgz/MeinGeld.mgd
3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/MeinGeld(2).mgz/MeinGeld(2).mgd
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/sprite1.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/preview.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/main.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph7.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph6.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph5.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph4.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph3.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph2.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph1.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/defbtn3.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/defbtn2.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/defbtn1.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/checkbox4.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/checkbox3.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/checkbox2.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/checkbox1.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt62.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt61.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt53.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt52.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt51.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt43.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt42.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt41.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt33.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt32.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt31.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt23.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt22.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt21.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt13.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt12.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt11.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bck1.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/arrow2.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/arrow1.bmp
3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/Ad-Aware SE Default.skn
3/30/09 10:44 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-23-2009 - 01-15-25.SBU/backup.db
3/30/09 10:44 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-23-2009 - 01-15-25.SBU/{C63B2189-92EF-4BB6-871C-762051B9A308}
3/30/09 10:44 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-23-2009 - 01-15-25.SBU/{1FCB2A96-AA1C-4E9B-89D7-D8BD41E8E1B0}
3/30/09 10:44 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-23-2009 - 01-15-25.SBU/{134E2B71-599D-496E-8B42-2B1B7B5EA9F7}
3/30/09 10:44 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-21-2009 - 13-05-23.SBU/backup.db
3/30/09 10:40 PM Task started

Alt 31.03.2009, 21:03   #23
Schmittbauer
 
Programme starten nicht, nur eine Shell öffnet sich kurz - Standard

Programme starten nicht, nur eine Shell öffnet sich kurz



Die Suche mit mbr hat folgendes log ergeben:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Sieht alles sauber aus... *schulterzuckend*

Alt 01.04.2009, 16:00   #24
undoreal
/// AVZ-Toolkit Guru
 
Programme starten nicht, nur eine Shell öffnet sich kurz - Standard

Programme starten nicht, nur eine Shell öffnet sich kurz



Der MBR ist sauber. War aber auch nur eine reine VorsichtsMaßnahme.

Folge dieser Anleitung (Analyse und Bereinigung) und poste den rapport.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 01.04.2009, 22:33   #25
Schmittbauer
 
Programme starten nicht, nur eine Shell öffnet sich kurz - Standard

Programme starten nicht, nur eine Shell öffnet sich kurz



Und da ist der rapport.txt:

SmitFraudFix v2.405

Scan done at 23:29:32,25, 01.04.2009
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Quick GPS Connection Data Download Manager\DesktopLtoManager.exe
C:\WINDOWS\system32\SerExt.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\PROGRA~1\COMPAN~2\ONETOU~3.EXE
C:\Programme\Companion Suite IH\MFServices.exe
C:\Programme\Companion Suite IH\MFPrintServer.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\CardScan\CardScan\CardScanAgent.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Plaxo\3.17.0.16\PlaxoHelper_de.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Gigaset DECT\capi\Tools\CALLTRAY.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 3Com 3C905TX-basierter Ethernetadapter (Standard) #2 - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FCB6EB09-33AD-455F-BEE8-FEC479BEBF67}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FCB6EB09-33AD-455F-BEE8-FEC479BEBF67}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{FCB6EB09-33AD-455F-BEE8-FEC479BEBF67}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 02.04.2009, 09:05   #26
undoreal
/// AVZ-Toolkit Guru
 
Programme starten nicht, nur eine Shell öffnet sich kurz - Standard

Programme starten nicht, nur eine Shell öffnet sich kurz



Folgendes:

Wäre die Maschine mein Rechner würde ich neuaufsetzen.
Bei dir läuft ein fieses Teil das ich die letzte Zeit häufiger sehe. Das lässt auf nichts gutes schließen. Evtl. sitzt du schon in einem BotNEtz.
Wir können versuchen das zu bereinigen aber der Erfolg ist nicht gewährleistet; die Sicherheit deiner Daten sowie so nicht.
Deine Entscheidung...
Wenn du sagst: "Weitermachen!" dann poste ich dir wie es weiter geht.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Programme starten nicht, nur eine Shell öffnet sich kurz
cscript.exe, datei, daten, dll, explorer, fehlermeldungen, festplatte, gelöscht, gen, hilfe!, immer wieder, kopieren, löschen, microsoft, neue, neuen, nicht starten, programm, programme, programme starten nicht, prozesse, rechner, rundll, rundll32.exe, shell, starten, starten nicht, öffnet



Ähnliche Themen: Programme starten nicht, nur eine Shell öffnet sich kurz


  1. AntiViren Programme lassen sich nicht starten/installieren. Und beim MicrosoftSecurityCenter kann ich den EchtzeitSchutz nicht aktivieren!
    Plagegeister aller Art und deren Bekämpfung - 24.06.2015 (41)
  2. Programme lassen sich nicht mehr starten
    Plagegeister aller Art und deren Bekämpfung - 17.04.2015 (11)
  3. Programme starten nicht mehr kurz nach Windows-Neustart
    Plagegeister aller Art und deren Bekämpfung - 12.02.2015 (19)
  4. cmd.exe bzw. Eingabeaufforderung öffnet sich nicht/nur kurz!
    Plagegeister aller Art und deren Bekämpfung - 11.02.2014 (11)
  5. Unbekannte Datei im startup, Mozilla-Programme lassen sich nicht starten
    Log-Analyse und Auswertung - 22.10.2012 (57)
  6. Programme lassen sich nicht starten, angebliches Update, Trojaner?
    Log-Analyse und Auswertung - 28.06.2012 (1)
  7. Nur noch Verknüpfungen und viele Programme lassen sich nicht mehr starten..
    Plagegeister aller Art und deren Bekämpfung - 09.01.2012 (3)
  8. exe dateien starten nicht, cmd lässt sich nicht öffnen,festplattenübersicht öffnet sich nicht
    Plagegeister aller Art und deren Bekämpfung - 15.10.2011 (1)
  9. Beim Start öffnet sich immer kurz ein scwarzes fenster + Opera öffnet immer eine Seite
    Log-Analyse und Auswertung - 06.06.2011 (10)
  10. Installierte Programme lassen sich nicht mehr starten
    Plagegeister aller Art und deren Bekämpfung - 19.11.2010 (7)
  11. MS Office Programme lassen sich nicht mehr starten
    Alles rund um Windows - 31.01.2010 (9)
  12. programme starten nicht und firefox öffnet nicht alle Seiten
    Plagegeister aller Art und deren Bekämpfung - 16.06.2009 (5)
  13. PC langsam , Programme lassen sich meist nicht starten
    Log-Analyse und Auswertung - 17.11.2008 (0)
  14. Wichtige Programme (eScan, Hijackthis,...) lassen sich nicht starten
    Plagegeister aller Art und deren Bekämpfung - 05.08.2008 (1)
  15. Programme Starten nicht richtig und lassen sich nicht beenden
    Plagegeister aller Art und deren Bekämpfung - 08.09.2007 (1)
  16. Probleme mit dem PC, Programme lassen sich nicht starten
    Log-Analyse und Auswertung - 22.07.2007 (4)
  17. Programme verschwinden / lassen sich nicht mehr starten
    Log-Analyse und Auswertung - 15.06.2007 (1)

Zum Thema Programme starten nicht, nur eine Shell öffnet sich kurz - Hier Teil 2, im nächsten Beitrag geht es weiter, da ist auch die Beschreibung! . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht - Programme starten nicht, nur eine Shell öffnet sich kurz...
Archiv
Du betrachtest: Programme starten nicht, nur eine Shell öffnet sich kurz auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.