| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sichWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
24.07.2009, 20:12
| #1 | |
 |  Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich Hallo erst mal. Folgendes Problem: ich starte den Pc und nach zufälliger Zeit beendet sich der Windows Audio-Dienst. Gleichzeitig ändert sich das Design auf Windows - klassisch. D.h. taskleiste + Fenster eckig und grau usw.. Wenn ich während das passiert z.B. in Warcraft online spiele wird da auch mal des öfteren die Verbindung getrennt. Der Windows Audio-Dienst lässt sich problemlos wieder anschalten und wenn ich den Pc einfach neu starte ist auch alles wieder ok. Nur das das nach zufälliger Zeit dann halt wieder passiert. ^^ Hijack-This Logfile: Zitat:
|
|
24.07.2009, 21:08
| #2 |
| /// Helfer-Team    |  Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich Hallo Kyu17:
__________________- Hast du an deinem PC gar kein Antivirus-Programm? - kann sein Ad-Aware + Ad-Watch behindert uns bei die Reinigung, also Empfehlenswert ist es ihn so zu deaktivieren: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware - Haken raus: "Start→ ausführen→ "msconfig" (reinschreiben ohne ""→ OK" Service: Lavasoft Ad-Aware Service - Dienste deaktivieren,bzw auf `Manuell` stellen: Start → Ausführen → "Services.msc" → (reinschreiben ohne ""→ OK" - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] gruß Coverflow |
|
25.07.2009, 14:11
| #3 |
| | Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich Huhu, hab alles erledigt.
__________________'n Antivirusprogramm hab ich im Moment nicht wirklich. ^^ Hatte des öfteren Probleme mit welchen, deswegen hab ichs irgendwann sein lassen. Hab jetzt übrigens noch 'n zusätzliches Problem. Nach zufälliger Zeit lassen sich Programme wie Firefox oder der Taskmanager nich mehr öffnen. Wann das genau auftritt oder ob das mit dem anderen Problem zusammen eintritt beobachte ich mal. Filelist.bat: Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 34B7-34EB
Verzeichnis von C:\
25.07.2009 15:06 43 filelist.txt
25.07.2009 15:02 1.341.636.608 pagefile.sys
25.07.2009 15:02 39.598 aaw7boot.log
24.07.2009 22:29 211 boot.ini
05.05.2009 23:27 0 23990098.$$$
05.05.2009 23:16 62 Download.log
0 Verzeichnis(se), 6.965.944.320 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 34B7-34EB
Verzeichnis von C:\WINDOWS
25.07.2009 15:03 50 wiaservc.log
25.07.2009 15:03 159 wiadebug.log
25.07.2009 15:03 0 0.log
25.07.2009 15:03 2.048 bootstat.dat
25.07.2009 15:02 89.208 WindowsUpdate.log
24.07.2009 22:30 32.616 SchedLgU.Txt
24.07.2009 22:29 634 win.ini
24.07.2009 22:29 227 system.ini
24.07.2009 21:25 142.504 setupapi.log
24.07.2009 21:21 5.219 setupact.log
21.07.2009 21:48 3.247 FaxSetup.log
21.07.2009 21:48 1.155 iis6.log
21.07.2009 21:48 1.461 comsetup.log
21.07.2009 21:48 1.636 tsoc.log
21.07.2009 21:48 584 imsins.log
21.07.2009 21:48 953 ntdtcsetup.log
21.07.2009 21:48 5.672 Wdf01007Inst.log
21.07.2009 21:48 895 ocgen.log
21.07.2009 21:48 237 msgsocm.log
21.07.2009 21:48 1.888 msmqinst.log
21.07.2009 21:48 0 setuperr.log
21.07.2009 21:23 203.904 DPINST.LOG
19.07.2009 20:06 31.218 DIIUnin.dat
19.07.2009 19:51 2.829 DIIUnin.pif
19.07.2009 19:51 102.400 DIIUnin.exe
18.07.2009 18:20 3.952 Cmicnfg3.ini.cfl
18.07.2009 18:10 4.333 mixerdef.ini
18.07.2009 18:10 423 wininit.ini
18.07.2009 18:06 140 CMMIXER.INI
17.07.2009 14:58 26 CMCDPLAY.INI
29.06.2009 15:52 99.107 DirectX.log
16.06.2009 17:30 37 vbaddin.ini
17.05.2009 22:34 116 NeroDigital.ini
17.05.2009 21:37 0 Sti_Trace.log
05.05.2009 23:22 28 Lic.xxx
22.03.2009 20:32 151.312 War3Unin.dat
18.03.2009 11:58 2.421 cmudax3.ini
07.03.2009 18:42 1.309 vb.ini
117 Datei(en) 12.179.776 Bytes
0 Verzeichnis(se), 6.965.927.936 Bytes frei
----- System ---
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 34B7-34EB
Verzeichnis von C:\WINDOWS\system
23.07.2009 01:56 545 Cmicnfg3.ini
29.10.2008 14:31 7.700.480 CMICNFG3.cpl
14.04.2008 21:53 146.944 winspool.drv
20.03.2006 15:52 73.728 CMedia.dll
04.08.2004 02:37 69.632 MMSYSTEM.DLL
30.04.2002 05:04 917.504 CMDS3D3.dll
24.11.2001 02:08 712.704 a3d.dll
24.11.2001 02:08 712.704 AUDIO3D3.dll
18.08.2001 16:00 33.744 COMMDLG.DLL
18.08.2001 16:00 13.600 WFWNET.DRV
18.08.2001 16:00 2.000 KEYBOARD.DRV
18.08.2001 16:00 9.936 LZEXPAND.DLL
18.08.2001 16:00 73.760 MCIAVI.DRV
18.08.2001 16:00 25.296 MCISEQ.DRV
18.08.2001 16:00 28.160 MCIWAVE.DRV
18.08.2001 16:00 109.504 AVIFILE.DLL
18.08.2001 16:00 70.368 AVICAP.DLL
18.08.2001 16:00 2.032 MOUSE.DRV
18.08.2001 16:00 127.104 MSVIDEO.DLL
18.08.2001 16:00 82.944 OLECLI.DLL
18.08.2001 16:00 24.064 OLESVR.DLL
18.08.2001 16:00 59.167 setup.inf
18.08.2001 16:00 5.120 SHELL.DLL
18.08.2001 16:00 1.744 SOUND.DRV
18.08.2001 16:00 5.532 stdole.tlb
18.08.2001 16:00 3.360 SYSTEM.DRV
18.08.2001 16:00 19.200 TAPI.DLL
18.08.2001 16:00 4.048 TIMER.DRV
18.08.2001 16:00 9.200 VER.DLL
18.08.2001 16:00 2.176 VGA.DRV
18.08.2001 16:00 1.152 MMTASK.TSK
20.10.2000 18:28 765.952 crlds3d.dll
32 Datei(en) 11.813.404 Bytes
0 Verzeichnis(se), 6.965.923.840 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 34B7-34EB
Verzeichnis von C:\WINDOWS\system32
25.07.2009 15:03 2.206 wpa.dbl
21.07.2009 21:46 1.112.288 WdfCoInstaller01007.dll
17.07.2009 15:15 392.296 perfh009.dat
17.07.2009 15:15 58.596 perfc009.dat
17.07.2009 15:15 405.118 perfh007.dat
17.07.2009 15:15 70.580 perfc007.dat
17.07.2009 15:15 938.224 PerfStringBackup.INI
08.06.2009 23:56 15.688 lsdelete.exe
05.05.2009 23:21 626.688 msvcr80.dll
05.05.2009 23:21 548.864 msvcp80.dll
05.05.2009 23:21 28.672 eEmpty.exe
05.05.2009 18:26 61.841 x_dtrace_log
12.04.2009 22:12 3.774 jupdate-1.6.0_13-b03.log
09.03.2009 19:19 148.888 javaws.exe
09.03.2009 19:19 144.792 javaw.exe
09.03.2009 19:19 144.792 java.exe
09.03.2009 19:19 410.984 deploytk.dll
09.03.2009 16:53 73.728 javacpl.cpl
06.03.2009 13:59 1.900.544 usbaaplrc.dll
12.02.2009 13:21 1.925.520 FNTCACHE.DAT
2331 Datei(en) 581.366.834 Bytes
0 Verzeichnis(se), 6.965.739.520 Bytes frei
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 34B7-34EB
Verzeichnis von C:\WINDOWS\Prefetch
25.07.2009 15:06 11.586 FIND.EXE-0EC32F1E.pf
25.07.2009 15:06 11.536 CMD.EXE-087B4001.pf
25.07.2009 15:06 69.440 WINACE.EXE-0E352790.pf
25.07.2009 15:05 42.150 CCLEANER.EXE-065E2F3F.pf
25.07.2009 15:04 1.231.056 NTOSBOOT-B00DFAAD.pf
25.07.2009 14:17 7.108 JQSNOTIFY.EXE-1E60A522.pf
25.07.2009 14:17 113.448 FIREFOX.EXE-1D57670A.pf
25.07.2009 14:07 57.808 WOW.EXE-0C671A06.pf
25.07.2009 14:07 87.880 LAUNCHER.EXE-01952FC4.pf
25.07.2009 14:07 15.910 VERCLSID.EXE-3667BD89.pf
25.07.2009 14:04 22.442 NOTEPAD.EXE-336351A9.pf
25.07.2009 13:55 75.938 QIP.EXE-071FCCCB.pf
25.07.2009 13:11 59.896 RUNDLL32.EXE-3D97474F.pf
25.07.2009 13:11 29.782 CONTROL.EXE-013DBFB5.pf
25.07.2009 12:57 362.202 Layout.ini
25.07.2009 12:27 19.732 SVCHOST.EXE-3530F672.pf
24.07.2009 22:15 52.212 MMC.EXE-04EF131A.pf
24.07.2009 22:13 15.998 AAWSERVICE.EXE-1E1DE6D1.pf
24.07.2009 22:13 33.326 MSCONFIG.EXE-35E4DAE9.pf
24.07.2009 21:49 52.118 AD-AWARE.EXE-2B8B58D1.pf
24.07.2009 21:49 14.708 AD-AWAREADMIN.EXE-1618EEEB.pf
24.07.2009 21:48 15.250 THREATWORK.EXE-2CC668FF.pf
24.07.2009 21:32 62.804 MBAM.EXE-11D8BBD8.pf
24.07.2009 21:30 19.710 REGSVR32.EXE-25EEFE2F.pf
24.07.2009 21:30 8.774 MBAMGUI.EXE-1E06AB95.pf
24.07.2009 21:29 15.630 MBAM-SETUP.TMP-1B714A0B.pf
24.07.2009 21:29 17.356 MBAM-SETUP.EXE-2D1DEE9F.pf
24.07.2009 21:23 19.516 TASKMGR.EXE-20256C55.pf
24.07.2009 21:23 21.968 HIJACKTHIS.EXE-39024128.pf
24.07.2009 21:21 66.060 CLEANMGR.EXE-1F86EA8E.pf
24.07.2009 21:07 62.216 WMIPRVSE.EXE-28F301A9.pf
24.07.2009 20:44 18.378 _IU14D2N.TMP-271572BD.pf
24.07.2009 20:44 19.022 UNINS000.EXE-019B5229.pf
24.07.2009 20:40 35.088 RUNDLL32.EXE-2576181F.pf
24.07.2009 20:23 38.286 DFRGNTFS.EXE-269967DF.pf
24.07.2009 20:22 16.376 DEFRAG.EXE-273F131E.pf
24.07.2009 19:47 19.338 LULNCHR.EXE-02D03192.pf
24.07.2009 19:47 17.892 LOGITECHUPDATE.EXE-0DF624A7.pf
23.07.2009 19:27 10.798 SYSTRAY.EXE-345DCC1C.pf
23.07.2009 19:27 22.968 RUNDLL32.EXE-24DBE541.pf
23.07.2009 14:59 123.614 FIREFOX.EXE-17EE503B.pf
23.07.2009 01:55 28.986 RUNDLL32.EXE-38EA370C.pf
22.07.2009 18:08 13.104 REGEDIT.COM-08A42FB8.pf
22.07.2009 07:33 19.396 RUNDLL32.EXE-12E27DD0.pf
21.07.2009 23:10 29.704 AU_.EXE-0341E8EF.pf
21.07.2009 23:10 15.534 UNINST.EXE-2EAAEE38.pf
21.07.2009 23:10 15.978 UNINSTALL.EXE-28574A1C.pf
21.07.2009 23:09 16.588 RUNDLL32.EXE-1A2DC225.pf
21.07.2009 23:07 51.952 MYPHONEEXPLORER.EXE-05E402FD.pf
21.07.2009 23:07 21.880 REGSP.EXE-2C0EBBED.pf
21.07.2009 23:07 19.772 MYPHONEEXPLORER_SETUP_1.7.3.E-3939429B.pf
21.07.2009 23:07 11.522 FIXPERMISSIONS.EXE-02D31F31.pf
21.07.2009 22:06 14.276 RUNDLL32.EXE-451FC2C0.pf
21.07.2009 21:23 68.806 DPINST.EXE-1B007405.pf
21.07.2009 21:04 16.390 RUNDLL32.EXE-4329986F.pf
21.07.2009 21:03 16.478 RUNDLL32.EXE-147E6F87.pf
21.07.2009 21:02 16.584 RUNDLL32.EXE-21C25203.pf
21.07.2009 21:02 11.426 FIXPERMISSIONS.EXE-290ADE7D.pf
21.07.2009 20:25 66.020 EXPLORER.EXE-082F38A9.pf
21.07.2009 20:24 18.842 RUNDLL32.EXE-43A2802D.pf
21.07.2009 20:24 19.966 RUNDLL32.EXE-232BBB6C.pf
21.07.2009 18:55 43.852 GAME.EXE-00A791F2.pf
21.07.2009 18:55 5.564 DIABLO II.EXE-13DEF4FC.pf
21.07.2009 15:13 56.912 BNUPDATE.EXE-1A1DF79D.pf
20.07.2009 12:16 43.150 WAR3.EXE-1423285C.pf
20.07.2009 12:16 53.090 FROZEN THRONE.EXE-04CB1895.pf
17.07.2009 14:59 4.374 WSCNTFY.EXE-1B24F5EB.pf
67 Datei(en) 3.717.466 Bytes
0 Verzeichnis(se), 6.965.805.056 Bytes frei
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 34B7-34EB
Verzeichnis von C:\WINDOWS\tasks
25.07.2009 15:03 6 SA.DAT
13.07.2009 22:42 276 AppleSoftwareUpdate.job
03.07.2009 23:54 458 Ad-Aware Update (Weekly).job
5 Datei(en) 1.197 Bytes
0 Verzeichnis(se), 6.965.805.056 Bytes frei
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 34B7-34EB
Verzeichnis von C:\WINDOWS\Temp
25.07.2009 15:03 408 WGANotify.settings
25.07.2009 15:03 255 WGAErrLog.txt
29.06.2009 15:49 16.384 Perflib_Perfdata_d7c.dat
3 Datei(en) 17.047 Bytes
0 Verzeichnis(se), 6.965.805.056 Bytes frei
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 34B7-34EB
Verzeichnis von C:\DOKUME~1\Max\LOKALE~1\Temp
25.07.2009 15:06 549 filelist.zip
23.07.2009 21:06 499 java_install_reg.log
20.07.2009 10:18 69 Tem107.tmp
19.07.2009 20:15 0 NBR57.tmp
19.07.2009 20:01 0 spet112j.lnk
19.07.2009 19:51 74 Install.log
19.07.2009 19:14 204.800 drm_dyndata_7370014.dll
19.07.2009 15:22 39.499 amt.log
19.07.2009 15:22 12.000 alm.log
19.07.2009 15:21 695 TWAIN.LOG
19.07.2009 15:21 156 Twunk001.MTX
19.07.2009 15:21 3 Twain001.Mtx
18.07.2009 18:02 367.112 WTC.tmp
29.06.2009 15:27 28.672 DW2276.tmp
29.06.2009 15:27 49.152 DW2274.tmp
29.06.2009 15:26 28.672 DW226F.tmp
29.06.2009 15:26 49.152 DW226D.tmp
29.06.2009 15:18 28.672 DW224C.tmp
29.06.2009 15:18 49.152 DW224A.tmp
28.06.2009 14:41 28.672 DW243.tmp
28.06.2009 14:41 49.152 DW241.tmp
34 Datei(en) 4.390.704 Bytes
0 Verzeichnis(se), 6.965.805.056 Bytes frei
Code:
ATTFilter µTorrent
Ad-Aware
Adobe Acrobat 4.0
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop CS3
Adobe Reader 8.1.2 - Deutsch
Adobe Shockwave Player
Apple Mobile Device Support
Apple Software Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Display Driver
ATI HYDRAVISION
ATI Problem Report Wizard
AVIVO Codecs
BrettspielWelt
CCleaner (remove only)
C-Media PCI Audio Device
Counter-Strike
Counter-Strike 1.6
Dedicated Server
DH Driver Cleaner Professional Edition
Diablo II
DivX Codec
DivX Converter
DivX Web Player
Driver Manager v1.02
EVEREST Home Edition v2.20
Fable - The Lost Chapters
FoxyTunes for Firefox
Google Earth
Hamachi 1.0.1.5
HijackThis 2.0.2
ICQ6.5
iTunes
J2SE Runtime Environment 5.0 Update 11
Java(TM) 6 Update 13
Java(TM) 6 Update 6
Java(TM) 6 Update 7
KhalInstallWrapper
Last.fm 1.5.1.30182
Logitech Registration
Logitech SetPoint
Malwarebytes' Anti-Malware
Messenger Plus! Live
Microsoft .NET Framework 2.0
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft DirectX Transform optional components
Microsoft Silverlight
Microsoft Text-to-Speech Engine 4.0 (English)
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual Basic 6.0 Ablaufmodell Edition (Deutsch)
Microsoft Visual C++ 2005 Redistributable
Microsoft Web Publishing Wizard 1.53
Mozilla Firefox (2.0.0.20)
Nero OEM
Nettalk 6.4
NVIDIA nForce Treiber für Windows 2000/XP
NVIDIA nForce Utilities
OpenAL
OpenOffice.org 2.0
PhotoFiltre
Picasa 3
QIP 2005 8080
QIP 2005 Uninstall
QIP 8070 Jeak Edition
QuickTime
Ray Adams ATI Tray Tools
ReaJpeg 1.2
Skype™ 3.8
Steam
System Requirements Lab
TeamSpeak 2 RC2
TuneUp Utilities 2003
TuneUp Utilities 2007
VeohTV BETA
VideoLAN VLC media player 0.8.6h
Warcraft III: All Products
WhatPulse 1.6.2
WinAce Archiver
Winamp
Windows Live Anmelde-Assistent
Windows Live installer
Windows Live Messenger
Geändert von Kyu17 (25.07.2009 um 14:57 Uhr) |
|
25.07.2009, 17:15
| #4 |
| | Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich Editieren geht gerade nicht.  der Kaspersky Online - Scan Bericht folgt noch. Hab des vorhin gemacht bin aber nach 1 1/2 Stunden erst bei ~50% gewesen und hatte dann keine Zeit mehr. Morgen Abend werde ich den mal durchlaufen lassen. Grüße |
|
26.07.2009, 00:26
| #5 |
| /// Helfer-Team | Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich hi 1. - So wie es aussieht, stehst du nicht unbedingt auf aktuelle Software (außer Windows). Dein JAVA von SUN und der Acrobat Reader sollten einem Update unterzogen werden! Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung... danach die Alte Version deinstallieren`Systemsteuerung → Software → Ändern/Entfernen...` - Adobe genauso 2. alle Anwendungen, Browser schließen -> Ordner für temporäre Dateien bitte leeren lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind, nicht löschbar.
3. reinige dein System mit Ccleaner:
4. Versuche mit Kaspersky erneut |
|
26.07.2009, 16:59
| #6 |
| | Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich Soo. Alles erledigt. Code:
ATTFilter --------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0 REPORT
Sunday, July 26, 2009
Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Program database last update: Sunday, July 26, 2009 13:57:03
Records in database: 2547536
--------------------------------------------------------------------------------
Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes
Scan area - My Computer:
C:\
D:\
E:\
F:\
Scan statistics:
Files scanned: 111064
Threat name: 1
Infected objects: 4
Suspicious objects: 0
Duration of the scan: 02:51:59
File name / Threat name / Threats count
D:\Eigene Dateien\ICQ Lite\2***93369\Miles_20777****\vnc-4_1_2-x86_win32.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 4
The selected area was scanned.
Geändert von Kyu17 (26.07.2009 um 17:04 Uhr) |
|
27.07.2009, 12:08
| #7 |
| | Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich Hi, ich lasse den mal bis heute Abend einfach durchlaufen, ob ich da bin oder nicht. ^^ Dann sehe ich ja ob der Audio-Dienst noch an ist etc.  grüße |
|
27.07.2009, 14:52
| #8 |
| | Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich Also der Audio-Dienst, sowie der Windowsstil bleibt jetzt. Aber nach 2 Stunden hatte ich das Problem das sich Programme wie Firefox, Taskmanager etc. nicht mehr öffnen liessen. Sp von dem einen auf den anderen Moment. ^^ Doppelklick auf FF.exe -> ladecursor -> nichts passiert :/ |
|
27.07.2009, 19:10
| #9 |
| | Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich Hab gerade entdeckt das es ne TCP Portausnahme Namen's "ebzvadzf" mit der Öffnung für 3008 gibt. Hab se mal entfernt. Werde jetzt noch beim Router nachsehen ob es die Ausnahme dort auch gibt. Grüße |
|
28.07.2009, 14:17
| #10 | |
| | Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich Oooookay. xD Der Windows-Audio Dienst hat sich gerade eben verabschiedet und der Windows-Stil ist auf klassisch umgestellt worden. Java habe ich versucht zu aktualisieren, dazu sagte er mir das ich die aktuellste Version hätte. Stimmt ja aber nicht. ^^ Also wollte ich die alten versionen deinstallieren. Nachdem er die Deinstallation vorbereitet hatte bekam ich die Meldung: Zitat:
|
|
28.07.2009, 14:31
| #11 |
| /// Helfer-Team | Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich hi 1. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2. Lade und installiere das Tool RootRepeal herunter - setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK" - nach der Scan, klick auf "Save Report" - speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread 3. Du hättest Dir schon längst ein Anti-Viren-Programm installieren müssen! empfehle ich auf jeden Fall jetzt es zu tun: *Avira Antivir Personal 9 Free* - gleich das Programm updaten - führe einen Scan sowohl im normalen als auch im abgesicherten Modus [F8] durch - alle Funde in Quarantäne verschieben, poste die Report-Datei |
|
28.07.2009, 18:50
| #12 |
| | Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich Hi, GMER Log: Code:
ATTFilter GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-28 19:50:06
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT spxc.sys ZwCreateKey [0xF74DA0E0] <-- ROOTKIT !!!
SSDT spxc.sys ZwEnumerateKey [0xF74F7CA2] <-- ROOTKIT !!!
SSDT spxc.sys ZwEnumerateValueKey [0xF74F8030] <-- ROOTKIT !!!
SSDT spxc.sys ZwOpenKey [0xF74DA0C0] <-- ROOTKIT !!!
SSDT spxc.sys ZwQueryKey [0xF74F8108] <-- ROOTKIT !!!
SSDT spxc.sys ZwQueryValueKey [0xF74F7F88] <-- ROOTKIT !!!
SSDT spxc.sys ZwSetValueKey [0xF74F819A] <-- ROOTKIT !!!
INT 0x62 ? 8A2ABBF8
INT 0x63 ? 8A0FFBF8
INT 0x73 ? 8A0FFBF8
INT 0x82 ? 8A2ABBF8
---- Kernel code sections - GMER 1.0.15 ----
? spxc.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B9CB38AC 5 Bytes JMP 8A0FF1D8
? System32\Drivers\a9duhbev.SYS Das System kann den angegebenen Pfad nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[872] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes JMP 0166ADCD
.text C:\WINDOWS\System32\svchost.exe[872] NETAPI32.dll!NetpwPathCanonicalize 597DA3A9 5 Bytes JMP 0166AD64
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8A31A2D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F750A93C] spxc.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F750A990] spxc.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74DB040] spxc.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74DB13C] spxc.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74DB0BE] spxc.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74DB7FC] spxc.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74DB6D2] spxc.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8A0FF2D8
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F74EAD92] spxc.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A2AA1F8
Device \Driver\sptd \Device\2520896598 spxc.sys
Device \Driver\usbohci \Device\USBPDO-0 8A0481F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A3181F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A3181F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A3181F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A3181F8
Device \Driver\usbohci \Device\USBPDO-1 8A0481F8
Device \Driver\usbehci \Device\USBPDO-2 8A0F31F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A2AC1F8
Device \Driver\PCI_PNP9098 \Device\00000058 spxc.sys
Device \Driver\PCI_PNP9098 \Device\00000058 spxc.sys
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A2AC1F8
Device \Driver\Cdrom \Device\CdRom0 8A0EE1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\NetBT \Device\NetBt_Wins_Export 89C021F8
Device \Driver\NetBT \Device\NetbiosSmb 89C021F8
Device \Driver\usbohci \Device\USBFDO-0 8A0481F8
Device \Driver\usbohci \Device\USBFDO-1 8A0481F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89BDE500
Device \Driver\usbehci \Device\USBFDO-2 8A0F31F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89BDE500
Device \Driver\Ftdisk \Device\FtControl 8A2AC1F8
Device \Driver\a9duhbev \Device\Scsi\a9duhbev1 8A100500
Device \FileSystem\Cdfs \Cdfs 89F14500
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ovafog <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovafog@DisplayName Boot Universal
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovafog@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovafog@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovafog@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovafog@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovafog@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovafog@Description Bietet automatische Konfiguration f?r 802.11-Adapter.
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovafog\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovafog\Parameters@ServiceDll C:\WINDOWS\system32\macfzxbd.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 2073404095
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -225770547
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x77 0x6D 0xFF 0xEC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xEC 0xD9 0x6F 0xBE ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB8 0x42 0x0F 0x38 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x57 0xBA 0x0A 0x88 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xEC 0xD9 0x6F 0xBE ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x9E 0xA8 0xEF 0xD5 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x0E 0xD3 0xFB 0x63 ...
Reg HKLM\SYSTEM\ControlSet003\Services\ovafog@DisplayName Boot Universal
Reg HKLM\SYSTEM\ControlSet003\Services\ovafog@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\ovafog@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\ovafog@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\ovafog@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\ovafog@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\ovafog@Description Bietet automatische Konfiguration f?r 802.11-Adapter.
Reg HKLM\SYSTEM\ControlSet003\Services\ovafog\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\ovafog\Parameters@ServiceDll C:\WINDOWS\system32\macfzxbd.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x77 0x6D 0xFF 0xEC ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xEC 0xD9 0x6F 0xBE ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB8 0x42 0x0F 0x38 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x57 0xBA 0x0A 0x88 ...
---- EOF - GMER 1.0.15 ----
RootRepeal lässt sich momentan nicht runterladen.  /Edit: Jetzt geht's. ^^ Allerdings kann man da nirgendwo Häkchen setzen. Die Punkte StealthObjects etc. gibt's nur als Reiter. Man konnte alles einzeln scannen: Geändert von Kyu17 (28.07.2009 um 19:02 Uhr) |
|
| Themen zu Windows Audio-Dienst nach zufälliger Zeit beendet; Windowsstil ändert sich |
| ad-aware, ad-watch, adobe, bho, browser, dll, explorer, firefox, google, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, logfile, microsoft, mozilla, neu, pdf, plug-in, problem, programme, rundll, software, system, taskleiste, windows, windows xp |
Hybrid-Darstellung
