| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Fehlermeldungen beim starten von Win XPWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
01.11.2009, 00:25
| #1 |
| |  Fehlermeldungen beim starten von Win XP Hallo, Wenn Windows startet bekomme ich folgende Fehlermeldungen: - Explorer.EXE Fehler in der Anwendung: Die Anweisung in "0x24167c1e" verweist auf Speicher in "0x00000000" der Vorgang "read" konnte nicht ausgeführt werden - Catalyst Controllcenter: Host application hat ein Problem festgestellt und muß beendet werden - firefox.exe hat ein Problem festgestellt und muß beendet werden. (hier öffnen sich 6 Fenster und mehr mit der gleichen Fehlermeldung hintereinander) - Explorer.EXE hat ein Problem festgestellt und muß beendet werden - Add-Aware hat ein Problem festgestellt und muß beendet werden Aufgrund eurer Regeln für Themen habe ich mir den Malewarebytes Scanner gezogen und konnte es immerhin im abgesicherten Modus ohne abstürtze ausführen, was sämtlichen Fehlermeldungen abgesehen von Firefox ein Ende bereitet hat. Und noch ein zweites Problem bleibt weiterhin bestehen, ich kann keine Updates für Viren oder auch Malware Scanner (das gilt auch für den Malwarebytes Scanner) ziehen. CC-Cleaner habe ich drüber laufen lassen. Hijack This: Anhang 4501 Das Log von Malwarebytes Scanner ist ein Problem, ich habe ihn zwar im abgesicherten Modus abgespeichert (2 mal versucht, mit dem selben Ergebniss), allerdings finde ich ihn jetzt aus unerfindlichem Grund nicht mehr. Geändert von cris (01.11.2009 um 00:34 Uhr) |
|
01.11.2009, 11:44
| #2 | |
| /// Helfer-Team    | Fehlermeldungen beim starten von Win XP Hallo und Herzlich Willkommen!
__________________ - Vermutliche Ursache: Festplatten, die mit dem Virus "Virus.Win32.AutoRun" befallen waren/sind - Die sind Malware, die sich über externe Datenträger verbreitet Zitat:
mindestens einen Backdoor/Wikipedia Adware -Tollbar installiert... - vermute ich dahinten noch ein Rootkit ehrlich gesagt die einzige sichere Lösung wäre: Format C + Neuinstallation mitsamt alle externe Datenträger (wie DVD, CD, externe Festplatten, USB Speicher usw) Falls du doch für die Systemreinigung entscheidest: Können wir versuchen dein PC von Viren zu befreien, aber nur "bis zu einem gewissen Punkt", wo dein System technisch auch noch einwandfrei funktioniert ** wenn auch gelingt es uns dein System einigermaße hinzukriegen, dein System wird ohne Neuinstallation NIE gesund! **eigentlich auch gute Idee wäre gleich das hier machen: Deaktivieren der Autorun-Funktionalität in Windows oder damit: "autorunsettigs" von Uwe Sieber - Anleitung zur Benutzung von AutoRunSettings/ SETI@home 1. **Spybot Tea Timer bitte abstellen! Falls "Tea Timer" auch aktiviert: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit. 2. Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...` Code:
ATTFilter AskToolbar
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 4. → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code:
ATTFilter C:\Programme\System64\SPY_NET_RAT.exe
C:\Programme\System Updater\svchost.exe
C:\WINDOWS\system32\WinDefence\windefence32.exe
C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\svchost.exe
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1) wenn schaffst Du es so nicht dann versuche so - danach die Dateien bei Virustotal prüfen lassen: 5. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [Windows SP2] C:\Programme\System64\SPY_NET_RAT.exe
O4 - HKCU\..\Run: [Hardware Virtualization] C:\Programme\System64\SPY_NET_RAT.exe
C:\Programme\System Updater\svchost.exe
C:\WINDOWS\system32\WinDefence\windefence32.exe
O4 - HKCU\..\Run: [Windows Security Center] C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Service Pack 2] C:\Programme\System64\SPY_NET_RAT.exe
O4 - HKLM\..\Policies\Explorer\Run: [Windows Manager] C:\Programme\System Updater\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [WinDefence] C:\WINDOWS\system32\WinDefence\windefence32.exe
O4 - HKCU\..\Policies\Explorer\Run: [Service Pack 2] C:\Programme\System64\SPY_NET_RAT.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Manager] C:\Programme\System Updater\svchost.exe
C:\WINDOWS\system32\WinDefence\windefence32.exe
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Cf Geändert von kira (01.11.2009 um 12:04 Uhr) |
|
01.11.2009, 17:44
| #3 |
| | Fehlermeldungen beim starten von Win XP - Autorun deaktiviert
__________________- Spybot Teatimer deaktiviert - Ask Toolbar: Beim deinstallieren wird mir ein "schwerwiegender Fehler" gemeldet und bricht ab. Punkt 4 svchost.exe HTML-Code: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.01 - AhnLab-V3 5.0.0.2 2009.10.30 - AntiVir 7.9.1.53 2009.10.30 - Antiy-AVL 2.0.3.7 2009.10.30 - Authentium 5.1.2.4 2009.10.31 - Avast 4.8.1351.0 2009.11.01 - AVG 8.5.0.423 2009.11.01 - BitDefender 7.2 2009.11.01 - CAT-QuickHeal 10.00 2009.10.31 - ClamAV 0.94.1 2009.11.01 - Comodo 2805 2009.11.01 - DrWeb 5.0.0.12182 2009.11.01 - eSafe 7.0.17.0 2009.11.01 - eTrust-Vet 35.1.7094 2009.10.30 - F-Prot 4.5.1.85 2009.10.31 - F-Secure 9.0.15370.0 2009.10.30 Trojan:W32/Agent.MGS Fortinet 3.120.0.0 2009.11.01 - GData 19 2009.11.01 - Ikarus T3.1.1.72.0 2009.11.01 - Jiangmin 11.0.800 2009.11.01 - K7AntiVirus 7.10.885 2009.10.31 - Kaspersky 7.0.0.125 2009.11.01 - McAfee 5788 2009.10.31 - McAfee+Artemis 5788 2009.10.31 - McAfee-GW-Edition 6.8.5 2009.11.01 - Microsoft 1.5202 2009.11.01 - NOD32 4562 2009.11.01 - Norman 6.03.02 2009.11.01 - nProtect 2009.1.8.0 2009.11.01 - Panda 10.0.2.2 2009.11.01 - PCTools 7.0.3.5 2009.10.30 - Prevx 3.0 2009.11.01 - Rising 21.53.62.00 2009.11.01 - Sophos 4.47.0 2009.11.01 - Sunbelt 3.2.1858.2 2009.10.31 - Symantec 1.4.4.12 2009.11.01 - TheHacker 6.5.0.2.058 2009.10.31 - TrendMicro 8.950.0.1094 2009.11.01 - VBA32 3.12.10.11 2009.10.30 - ViRobot 2009.10.31.2015 2009.10.31 - VirusBuster 4.6.5.0 2009.10.31 - weitere Informationen File size: 393216 bytes MD5...: 6d6df55ca46d42d600ff4112e0e7c722 SHA1..: 7897742b9fb4907e19ba715a8d574196d0e6e6e7 SHA256: 5f989703b732206ab443b42d86a0cf0fc5aead46165895d13f28a5ec15d09bf1 ssdeep: 6144:LxkV/ZnLWP2Rr+4vS24KKHPOmON8H4isINuzfh9373KxIEPSfutafVOr2RB rXXlv:Yk4vS24KKHPOH8YidshiCftfVQ2RVn2u PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x47b0 timedatestamp.....: 0x4ae2364e (Fri Oct 23 23:03:42 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x16a04 0x17000 5.72 8590b6de454bac693487927ef8b3ac41 .data 0x18000 0xc20 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x19000 0x4616c 0x47000 7.95 a8b4b6ca4c96521f2a1fecdd12a60a0a ( 1 imports ) > MSVBVM60.DLL: __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaAryMove, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaEnd, __vbaPut3, __vbaFreeVarList, _adj_fdiv_m64, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, -, __vbaAryDestruct, __vbaExitProc, -, __vbaOnError, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, __vbaVarIndexLoad, _CIsin, -, __vbaErase, -, __vbaVarZero, __vbaChkstk, __vbaFileClose, -, EVENT_SINK_AddRef, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaAryConstruct2, __vbaI2I4, DllFunctionCall, -, _adj_fpatan, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, EVENT_SINK_QueryInterface, __vbaStr2Vec, __vbaExceptHandler, -, -, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, -, __vbaStrVarVal, __vbaUbound, __vbaVarCat, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaVar2Vec, __vbaInStr, __vbaNew2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaAryLock, __vbaVarDup, __vbaStrToAnsi, __vbaFpI2, -, __vbaVarCopy, __vbaFpI4, -, _CIatan, __vbaAryCopy, __vbaStrMove, __vbaUI1Str, -, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeStr, __vbaFreeObj, __vbaI4ErrVar, - ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Microsoft Visual Basic 6 (90.9%) Win32 Executable Generic (6.1%) Generic Win/DOS Executable (1.4%) DOS Executable Generic (1.4%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: LXYCZNPUWY copyright....: n/a product......: VGPTIDXFBU description..: n/a original name: CQPVZJMHPY internal name: CQPVZJMHPY file version.: 1.00 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned HTML-Code: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.01 Riskware.Win32.VBInject!IK AhnLab-V3 5.0.0.2 2009.10.30 - AntiVir 7.9.1.53 2009.10.30 - Antiy-AVL 2.0.3.7 2009.10.30 - Authentium 5.1.2.4 2009.10.31 - Avast 4.8.1351.0 2009.11.01 - AVG 8.5.0.423 2009.11.01 - BitDefender 7.2 2009.11.01 - CAT-QuickHeal 10.00 2009.10.31 - ClamAV 0.94.1 2009.11.01 - Comodo 2805 2009.11.01 Heur.Suspicious DrWeb 5.0.0.12182 2009.11.01 Trojan.Inject.6473 eSafe 7.0.17.0 2009.11.01 - eTrust-Vet 35.1.7094 2009.10.30 - F-Prot 4.5.1.85 2009.10.31 - F-Secure 9.0.15370.0 2009.10.30 - Fortinet 3.120.0.0 2009.11.01 - GData 19 2009.11.01 - Ikarus T3.1.1.72.0 2009.11.01 VirTool.Win32.VBInject Jiangmin 11.0.800 2009.11.01 - K7AntiVirus 7.10.885 2009.10.31 - Kaspersky 7.0.0.125 2009.11.01 Trojan.Win32.Kreeper.ev McAfee 5788 2009.10.31 - McAfee+Artemis 5788 2009.10.31 - McAfee-GW-Edition 6.8.5 2009.11.01 - Microsoft 1.5202 2009.11.01 - NOD32 4562 2009.11.01 - Norman 6.03.02 2009.11.01 - nProtect 2009.1.8.0 2009.11.01 - Panda 10.0.2.2 2009.11.01 - PCTools 7.0.3.5 2009.10.30 - Prevx 3.0 2009.11.01 - Rising 21.53.62.00 2009.11.01 - Sophos 4.47.0 2009.11.01 - Sunbelt 3.2.1858.2 2009.11.01 - Symantec 1.4.4.12 2009.11.01 - TheHacker 6.5.0.2.058 2009.10.31 - TrendMicro 8.950.0.1094 2009.11.01 - VBA32 3.12.10.11 2009.10.30 - ViRobot 2009.10.31.2015 2009.10.31 - VirusBuster 4.6.5.0 2009.10.31 - weitere Informationen File size: 417792 bytes MD5...: 3043dfb8ff7f21bd3be945a210e461da SHA1..: 5e757f027a6c4c5df8fe4d76609cf0ad9e5d9421 SHA256: f1c2857558de7a9d1cd39f81cfadac7b96f807a7b4c52ca4212079029cf0ccdc ssdeep: 6144:4NGPzYL/zuchLQu+p5SWABQTdJoxFY4uqQf23HdHkNnZLWXxquuSdO+w:/k /zusR+p5arY4uvyBXxmSdO+w PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10e4 timedatestamp.....: 0x4ae0c0a0 (Thu Oct 22 20:29:20 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1ae68 0x1b000 5.25 5b6f44ca1600d9c49bb971133eb9043f .data 0x1c000 0x4ec 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x1d000 0x49350 0x4a000 7.98 edd83d41e13c0e298f871c1adbee20cf ( 1 imports ) > MSVBVM60.DLL: MethCallEngine, -, -, -, -, -, -, EVENT_SINK_AddRef, -, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, ProcCallEngine, -, -, -, -, -, - ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - sigcheck: publisher....: FAyrd copyright....: n/a product......: D8LiOE5Vm7Y8 description..: n/a original name: ELvRuMeHVzzN.exe internal name: ELvRuMeHVzzN file version.: 7.16.0030 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) Schon mal danke, für die Mühe. Neuinstallieren ziehe ich erst als letzte konsequenz in erwägung, damit würde mir eine Menge verloren gehen. GMER folgt. Geändert von cris (01.11.2009 um 17:51 Uhr) |
|
01.11.2009, 19:16
| #4 |
| | Fehlermeldungen beim starten von Win XP GMER: HTML-Code: GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-11-01 19:03:50
Windows 5.1.2600 Service Pack 2
Running: 2dcedyw4.exe; Driver: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\afecipog.sys
---- System - GMER 1.0.15 ----
SSDT F14643BE ZwCreateKey
SSDT F14643B4 ZwCreateThread
SSDT F14643C3 ZwDeleteKey
SSDT F14643CD ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xF7382FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xF7383340]
SSDT F14643D2 ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xF737D0B0]
SSDT F14643A0 ZwOpenProcess
SSDT F14643A5 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF7383418]
SSDT sptd.sys ZwQueryValueKey [0xF7383298]
SSDT F14643DC ZwReplaceKey
SSDT F14643D7 ZwRestoreKey
SSDT F14643C8 ZwSetValueKey
SSDT F14643AF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F554462C 5 Bytes JMP 861E01C8
? System32\Drivers\a0q53sm3.SYS Das System kann den angegebenen Pfad nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F737DAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F737DC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F737DB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F737E748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F737E61E] sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 863D61E8
Device \FileSystem\Fastfat \FatCdrom 853C61E8
Device \Driver\PCI_NTPNP9818 \Device\00000050 sptd.sys
Device \Driver\usbohci \Device\USBPDO-0 861B0790
Device \Driver\usbehci \Device\USBPDO-1 861CC4E0
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
Device \Driver\Ftdisk \Device\HarddiskVolume1 863D81E8
Device \Driver\Cdrom \Device\CdRom0 861BE790
Device \Driver\Cdrom \Device\CdRom1 861BE790
Device \Driver\usbstor \Device\00000076 854A21E8
Device \Driver\usbstor \Device\00000077 854A21E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8560A1E8
Device \Driver\usbstor \Device\00000078 854A21E8
Device \Driver\NetBT \Device\NetbiosSmb 8560A1E8
Device \Driver\usbstor \Device\00000079 854A21E8
Device \Driver\usbohci \Device\USBFDO-0 861B0790
Device \Driver\usbstor \Device\0000007a 854A21E8
Device \Driver\usbehci \Device\USBFDO-1 861CC4E0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 854A81E8
Device \Driver\usbstor \Device\0000007b 854A21E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 854A81E8
Device \Driver\Ftdisk \Device\FtControl 863D81E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{69F3C820-7037-4D22-BBC4-F7BDE4B830EB} 8560A1E8
Device \Driver\a0q53sm3 \Device\Scsi\a0q53sm31 860C41E8
Device \Driver\a0q53sm3 \Device\Scsi\a0q53sm31Port3Path0Target0Lun0 860C41E8
Device \FileSystem\Fastfat \Fat 853C61E8
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 85497790
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -281969026
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1967338395
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x86 0xD9 0xB5 0x2E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xB3 0xEC 0xC1 0x9D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x49 0xF4 0xE7 0x43 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x23 0xBA 0xAC 0xD1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x86 0xD9 0xB5 0x2E ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xB3 0xEC 0xC1 0x9D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x49 0xF4 0xE7 0x43 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x23 0xBA 0xAC 0xD1 ...
---- EOF - GMER 1.0.15 ---- |
|
01.11.2009, 19:46
| #5 |
| | Fehlermeldungen beim starten von Win XP EDIT: Sry ich habe irgendwie aus eienm Edit einen Doublepost gemacht... |
|
02.11.2009, 00:12
| #6 |
| /// Helfer-Team | Fehlermeldungen beim starten von Win XP hi Du hast wohl meine ausführlichen Anleitung, nicht komplett und aufmerksam gelesen! Aus deine von Dir gepostete Ergebnis, nicht ersichtlich, welche Datei wurde geprüft? Ich würde doch gerne,die Dateiname zusammen mit die Scanergebnisse sehen Also nicht auslassen,sondern wie Du es bekommst da reinkopieren! Beispiel - das zu postende Logfile von virustotal, soll wie hier, so aussehen : Code:
ATTFilter Datei windefence32.exe empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.28 -
AhnLab-V3 5.0.0.2 2009.01.28 -
AntiVir 7.9.0.60 2009.01.28 -
Authentium 5.1.0.4 2009.01.27 -
Avast 4.8.1281.0 2009.01.27 -
AVG 8.0.0.229 2009.01.28 -
...sind es insgesamt 41 Online Virus Scanner...
|
|
02.11.2009, 17:43
| #7 |
| | Fehlermeldungen beim starten von Win XP Verstanden schon, ich habe allerdings beim kopieren der Log die Überschrift übersehen.... HTML-Code: Datei windefence32.exe empfangen 2009.11.02 16:29:52 (UTC) Status: Beendet Ergebnis: 7/41 (17.08%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.02 Riskware.Win32.VBInject!IK AhnLab-V3 5.0.0.2 2009.11.02 - AntiVir 7.9.1.53 2009.11.02 TR/Kreeper.EV Antiy-AVL 2.0.3.7 2009.11.02 - Authentium 5.1.2.4 2009.11.02 - Avast 4.8.1351.0 2009.11.01 - AVG 8.5.0.423 2009.11.02 - BitDefender 7.2 2009.11.02 - CAT-QuickHeal 10.00 2009.11.02 - ClamAV 0.94.1 2009.11.02 - Comodo 2816 2009.11.02 Heur.Suspicious DrWeb 5.0.0.12182 2009.11.02 Trojan.Inject.6473 eSafe 7.0.17.0 2009.11.02 - eTrust-Vet 35.1.7097 2009.11.02 - F-Prot 4.5.1.85 2009.11.02 - F-Secure 9.0.15370.0 2009.10.30 - Fortinet 3.120.0.0 2009.11.02 - GData 19 2009.11.02 - Ikarus T3.1.1.72.0 2009.11.02 VirTool.Win32.VBInject Jiangmin 11.0.800 2009.11.02 - K7AntiVirus 7.10.886 2009.11.02 - Kaspersky 7.0.0.125 2009.11.02 Trojan.Win32.Kreeper.ev McAfee 5789 2009.11.01 - McAfee+Artemis 5789 2009.11.01 - McAfee-GW-Edition 6.8.5 2009.11.02 Trojan.Kreeper.EV Microsoft 1.5202 2009.11.02 - NOD32 4565 2009.11.02 - Norman 6.03.02 2009.11.02 - nProtect 2009.1.8.0 2009.11.02 - Panda 10.0.2.2 2009.11.01 - PCTools 7.0.3.5 2009.11.02 - Prevx 3.0 2009.11.02 - Rising 21.54.04.00 2009.11.02 - Sophos 4.47.0 2009.11.02 - Sunbelt 3.2.1858.2 2009.11.01 - Symantec 1.4.4.12 2009.11.02 - TheHacker 6.5.0.2.058 2009.10.31 - TrendMicro 8.950.0.1094 2009.11.02 - VBA32 3.12.10.11 2009.11.02 - ViRobot 2009.11.2.2017 2009.11.02 - VirusBuster 4.6.5.0 2009.11.02 - weitere Informationen File size: 417792 bytes MD5...: 3043dfb8ff7f21bd3be945a210e461da SHA1..: 5e757f027a6c4c5df8fe4d76609cf0ad9e5d9421 SHA256: f1c2857558de7a9d1cd39f81cfadac7b96f807a7b4c52ca4212079029cf0ccdc ssdeep: 6144:4NGPzYL/zuchLQu+p5SWABQTdJoxFY4uqQf23HdHkNnZLWXxquuSdO+w:/k /zusR+p5arY4uvyBXxmSdO+w PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10e4 timedatestamp.....: 0x4ae0c0a0 (Thu Oct 22 20:29:20 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1ae68 0x1b000 5.25 5b6f44ca1600d9c49bb971133eb9043f .data 0x1c000 0x4ec 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x1d000 0x49350 0x4a000 7.98 edd83d41e13c0e298f871c1adbee20cf ( 1 imports ) > MSVBVM60.DLL: MethCallEngine, -, -, -, -, -, -, EVENT_SINK_AddRef, -, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, ProcCallEngine, -, -, -, -, -, - ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: FAyrd copyright....: n/a product......: D8LiOE5Vm7Y8 description..: n/a original name: ELvRuMeHVzzN.exe internal name: ELvRuMeHVzzN file version.: 7.16.0030 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned HTML-Code: Datei svchost.exe empfangen 2009.11.02 16:38:47 (UTC) Status: Beendet Ergebnis: 2/41 (4.88%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.02 - AhnLab-V3 5.0.0.2 2009.11.02 - AntiVir 7.9.1.53 2009.11.02 - Antiy-AVL 2.0.3.7 2009.11.02 - Authentium 5.1.2.4 2009.11.02 - Avast 4.8.1351.0 2009.11.01 - AVG 8.5.0.423 2009.11.02 - BitDefender 7.2 2009.11.02 - CAT-QuickHeal 10.00 2009.11.02 - ClamAV 0.94.1 2009.11.02 - Comodo 2816 2009.11.02 - DrWeb 5.0.0.12182 2009.11.02 - eSafe 7.0.17.0 2009.11.02 - eTrust-Vet 35.1.7097 2009.11.02 - F-Prot 4.5.1.85 2009.11.02 - F-Secure 9.0.15370.0 2009.10.30 Trojan:W32/Agent.MGS Fortinet 3.120.0.0 2009.11.02 - GData 19 2009.11.02 - Ikarus T3.1.1.72.0 2009.11.02 - Jiangmin 11.0.800 2009.11.02 - K7AntiVirus 7.10.886 2009.11.02 - Kaspersky 7.0.0.125 2009.11.02 - McAfee 5789 2009.11.01 - McAfee+Artemis 5789 2009.11.01 - McAfee-GW-Edition 6.8.5 2009.11.02 - Microsoft 1.5202 2009.11.02 - NOD32 4565 2009.11.02 - Norman 6.03.02 2009.11.02 - nProtect 2009.1.8.0 2009.11.02 - Panda 10.0.2.2 2009.11.01 - PCTools 7.0.3.5 2009.11.02 - Prevx 3.0 2009.11.02 High Risk Cloaked Malware Rising 21.54.04.00 2009.11.02 - Sophos 4.47.0 2009.11.02 - Sunbelt 3.2.1858.2 2009.11.01 - Symantec 1.4.4.12 2009.11.02 - TheHacker 6.5.0.2.058 2009.10.31 - TrendMicro 8.950.0.1094 2009.11.02 - VBA32 3.12.10.11 2009.11.02 - ViRobot 2009.11.2.2017 2009.11.02 - VirusBuster 4.6.5.0 2009.11.02 - weitere Informationen File size: 393216 bytes MD5...: 6d6df55ca46d42d600ff4112e0e7c722 SHA1..: 7897742b9fb4907e19ba715a8d574196d0e6e6e7 SHA256: 5f989703b732206ab443b42d86a0cf0fc5aead46165895d13f28a5ec15d09bf1 ssdeep: 6144:LxkV/ZnLWP2Rr+4vS24KKHPOmON8H4isINuzfh9373KxIEPSfutafVOr2RB rXXlv:Yk4vS24KKHPOH8YidshiCftfVQ2RVn2u PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x47b0 timedatestamp.....: 0x4ae2364e (Fri Oct 23 23:03:42 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x16a04 0x17000 5.72 8590b6de454bac693487927ef8b3ac41 .data 0x18000 0xc20 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x19000 0x4616c 0x47000 7.95 a8b4b6ca4c96521f2a1fecdd12a60a0a ( 1 imports ) > MSVBVM60.DLL: __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaAryMove, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaEnd, __vbaPut3, __vbaFreeVarList, _adj_fdiv_m64, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, -, __vbaAryDestruct, __vbaExitProc, -, __vbaOnError, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, __vbaVarIndexLoad, _CIsin, -, __vbaErase, -, __vbaVarZero, __vbaChkstk, __vbaFileClose, -, EVENT_SINK_AddRef, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaAryConstruct2, __vbaI2I4, DllFunctionCall, -, _adj_fpatan, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, EVENT_SINK_QueryInterface, __vbaStr2Vec, __vbaExceptHandler, -, -, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, -, __vbaStrVarVal, __vbaUbound, __vbaVarCat, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaVar2Vec, __vbaInStr, __vbaNew2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaAryLock, __vbaVarDup, __vbaStrToAnsi, __vbaFpI2, -, __vbaVarCopy, __vbaFpI4, -, _CIatan, __vbaAryCopy, __vbaStrMove, __vbaUI1Str, -, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeStr, __vbaFreeObj, __vbaI4ErrVar, - ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Microsoft Visual Basic 6 (90.9%) Win32 Executable Generic (6.1%) Generic Win/DOS Executable (1.4%) DOS Executable Generic (1.4%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=DF94388800E5407B00B306E12CA64B0016B4639F' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=DF94388800E5407B00B306E12CA64B0016B4639F</a> sigcheck: publisher....: LXYCZNPUWY copyright....: n/a product......: VGPTIDXFBU description..: n/a original name: CQPVZJMHPY internal name: CQPVZJMHPY file version.: 1.00 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned |
|
02.11.2009, 22:02
| #8 |
| /// Helfer-Team | Fehlermeldungen beim starten von Win XP Ok Bevor wir nun loslegen mit der Reinigung,laden wir die unbekannten Dateien hoch, damit sie von den AV-Programm-Herstellern in die Signaturen aufgenommen werden können bzw zur weitere Analyse: Datei Upload
C:\WINDOWS\system32\WinDefence\windefence32.exe
|
|
| Themen zu Fehlermeldungen beim starten von Win XP |
| abgesicherten modus, anwendung, beendet, beim starten, explorer.exe, explorer.exe fehler, fehlermeldungen, festgestellt, firefox.exe, folge, gen, keine updates, log, malware, malwarebytes, nicht mehr, problem, scan, speicher, starten, startet, updates, verweist auf speicher, viren, win, win xp, windows, öffnen |
Hybrid-Darstellung
