| |
| |||||||
Log-Analyse und Auswertung: Weiß nicht, was los ist, vielleicht Rootkit?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
20.10.2010, 12:24
| #1 |
 |  Weiß nicht, was los ist, vielleicht Rootkit? So, habe jetzt OTL ausgeführt, mach jetzt noch mal einen Scan mit Malewarebytes, da das sich vorhin ständig aufgehangen hat. Hier der Log von OTL, aber uninteressant ... Code:
ATTFilter All processes killed
========== OTL ==========
Service XAMPP stopped successfully!
Service XAMPP deleted successfully!
File C:\xampp\service.exe File not found not found.
Service shoddybattle stopped successfully!
Service shoddybattle deleted successfully!
File C:\Programme\Shoddy Battle Server\bin\wrapper.exe File not found not found.
Service MySql stopped successfully!
Service MySql deleted successfully!
File C:\xampp\mysql\bin\mysqld-nt.exe File not found not found.
Service Macromedia Licensing Service stopped successfully!
Service Macromedia Licensing Service deleted successfully!
File C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe File not found not found.
Service FileZilla Server stopped successfully!
Service FileZilla Server deleted successfully!
File C:\xampp\filezillaftp\filezillaserver.exe File not found not found.
Service Apache2.2 stopped successfully!
Service Apache2.2 deleted successfully!
File C:\xampp\apache\bin\apache.exe File not found not found.
Service PLCMPR5 stopped successfully!
Service PLCMPR5 deleted successfully!
File C:\WINDOWS\System32\PLCMPR5.SYS File not found not found.
Service BDRsDrv stopped successfully!
Service BDRsDrv deleted successfully!
File C:\Programme\Softwin\BitDefender10\bdrsdrv.sys File not found not found.
Service BDFsDrv stopped successfully!
Service BDFsDrv deleted successfully!
File C:\Programme\Softwin\BitDefender10\bdfsdrv.sys File not found not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{47833539-D0C5-4125-9FA8-0819E2EAAC93} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47833539-D0C5-4125-9FA8-0819E2EAAC93}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE5D279F-081B-4404-994D-C6B60AAEBA6D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE5D279F-081B-4404-994D-C6B60AAEBA6D}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3ccc95b1-12c9-11dd-8498-9ac74778ae18}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ccc95b1-12c9-11dd-8498-9ac74778ae18}\ not found.
File F:\setupSNK.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd1ddae6-12d7-11dd-8499-f26be3a59f18}\ not found.
File E:\pushinst.exe not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33438 bytes
User: *****
->Temp folder emptied: 7015771 bytes
->Temporary Internet Files folder emptied: 4876891 bytes
->Java cache emptied: 16485180 bytes
->FireFox cache emptied: 45904915 bytes
->Google Chrome cache emptied: 279194165 bytes
->Apple Safari cache emptied: 561152 bytes
->Flash cache emptied: 4500 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114764 bytes
%systemroot%\System32 .tmp files removed: 3795456 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 676685 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 344,00 mb
[EMPTYFLASH]
User: All Users
User: LocalService
User: *****
->Flash cache emptied: 0 bytes
User: NetworkService
Total Flash Files Cleaned = 0,00 mb
OTL by OldTimer - Version 3.2.16.0 log created on 10202010_130438
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
|
|
20.10.2010, 12:34
| #2 |
| | Weiß nicht, was los ist, vielleicht Rootkit? Sry, aber weiß jemand, wie man die Autostart-Funktion von Avira AntiVir Personal unterbindet??
__________________Beenden kann ich Avira nicht ... Code:
ATTFilter C:\Dokumente und Einstellungen\*****>taskkill /f /IM av*
FEHLER: Der Prozess "avguard.exe" mit PID 1532 konnte nicht beendet werden.
Grund: Zugriff verweigert
FEHLER: Der Prozess "avshadow.exe" mit PID 1748 konnte nicht beendet werden.
Grund: Zugriff verweigert
FEHLER: Der Prozess "avgnt.exe" mit PID 1452 konnte nicht beendet werden.
Grund: Zugriff verweigert
Geändert von Spixi (20.10.2010 um 12:43 Uhr) |
|
20.10.2010, 13:00
| #3 |
| | Weiß nicht, was los ist, vielleicht Rootkit? Naja, irgendwie scheint MAM nichts zu finden (ist gerade bei 104982 Objekte, 0 Funde), deshalb die Frage, soll ich jetzt ComboFix im abgesicherten Modus starten, auch wenn Avira aktiv (der Guard aber aus) ist?
__________________Sry, jetzt ist MAM fertig Code:
ATTFilter Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Datenbank Version: 4888
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18241
20.10.2010 13:58:53
mbam-log-2010-10-20 (13-58-53).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 223207
Laufzeit: 42 Minute(n), 35 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
20.10.2010, 13:23
| #4 |
  | Weiß nicht, was los ist, vielleicht Rootkit? Hi, Avira wird von CF selbstätig "abgeschaltet", lass ihn einfach von der Leine... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
20.10.2010, 18:08
| #5 |
| |  Weiß nicht, was los ist, vielleicht Rootkit? So, jetzt habe ich zwar alles durchgeführt, die Logs auf'n Stick gezogen und nun finde ich immer noch keine Drahtlosnetze mehr, mit dem Netbook aber schon ... Meine W-LAN-Karte ist Atheros AR5007 EG, der Router heißt Speedport W510v. Btw sind jetzt auch meine virtuellen DVD-Laufwerke verschwunden ... Logs: Code:
ATTFilter GMER 1.0.15.15477 - hxxp://www.gmer.net
Rootkit scan 2010-10-20 16:47:57
Windows 5.1.2600 Service Pack 3
Running: idb3y2mk.exe; Driver: C:\DOKUME~1\*****~1\LOKALE~1\Temp\pwriikod.sys
---- System - GMER 1.0.15 ----
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwClose [0xF738CC58]
SSDT F7B9BDB6 ZwCreateKey
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwCreatePagingFile [0xF7380C70]
SSDT F7B9BDAC ZwCreateThread
SSDT F7B9BDBB ZwDeleteKey
SSDT F7B9BDC5 ZwDeleteValueKey
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF73814FE]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF738CD50]
SSDT F7B9BDCA ZwLoadKey
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwOpenKey [0xF738CBD4]
SSDT F7B9BD98 ZwOpenProcess
SSDT F7B9BD9D ZwOpenThread
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwQueryKey [0xF738151E]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwQueryValueKey [0xF738CCA6]
SSDT F7B9BDD4 ZwReplaceKey
SSDT F7B9BDCF ZwRestoreKey
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwSetSystemPowerState [0xF738C4F0]
SSDT F7B9BDC0 ZwSetValueKey
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 863A9298
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device \Driver\Cdrom \Device\CdRom0 861785B8
Device \FileSystem\Rdbss \Device\FsWrap 85E38680
Device \Driver\atapi \Device\Ide\IdePort0 861766B0
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 861766B0
Device \Driver\atapi \Device\Ide\IdePort1 861766B0
Device \Driver\atapi \Device\Ide\IdePort2 861766B0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 861766B0
Device \Driver\Cdrom \Device\CdRom1 861785B8
Device \Driver\Cdrom \Device\CdRom2 861785B8
Device \FileSystem\Srv \Device\LanmanServer 85EBF378
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8465F468
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8465F468
Device \FileSystem\Npfs \Device\NamedPipe 85C1C158
Device \FileSystem\Msfs \Device\Mailslot 84844860
Device \Driver\Vax347s \Device\Scsi\Vax347s1 85E91528
Device \Driver\Vax347s \Device\Scsi\Vax347s1Port3Path0Target1Lun0 85E91528
Device \Driver\Vax347s \Device\Scsi\Vax347s1Port3Path0Target0Lun0 85E91528
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 847FBA58
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 847FBA58
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 847FBA58
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 847FBA58
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 847FBA58
Device \FileSystem\Cdfs \Cdfs 85F4E788
---- Modules - GMER 1.0.15 ----
Module _________ F72E2000-F72FA000 (98304 bytes)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg41
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName Alcohol 120%
Reg HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName Alcohol 120%
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter ComboFix 10-10-19.03 - ***** 20.10.2010 17:18:35.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.957.654 [GMT 2:00]
ausgeführt von:: F:\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\Ijl11.dll
c:\windows\system32\Thumbs.db
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-20 bis 2010-10-20 ))))))))))))))))))))))))))))))
.
2010-10-20 15:03 . 2010-10-20 15:03 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\InstallShield
2010-10-20 11:04 . 2010-10-20 11:04 -------- d-----w- C:\_OTL
2010-10-20 10:30 . 2010-10-20 10:29 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-10-20 10:26 . 2010-10-20 10:29 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-10-20 08:26 . 2010-10-20 08:26 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes
2010-10-20 08:25 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-20 08:25 . 2010-10-20 08:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-20 08:25 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-20 08:25 . 2010-10-20 08:25 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-10-15 11:11 . 2010-10-15 11:54 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\vlc
2010-10-14 00:19 . 2010-10-14 00:19 -------- d--h--w- c:\windows\$hf_mig$
2010-10-14 00:19 . 2010-07-27 06:29 8503296 -c----w- c:\windows\system32\dllcache\shell32.dll
2010-10-11 11:46 . 2010-10-11 11:46 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Pokemon Lab
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2006-05-03 09:06 163328 --sha-r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 31232 --sha-r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 216064 --sha-r- c:\windows\system32\nbDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="REM" [X]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)
"LogonType"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoPublishingWizard"= 1 (0x1)
"NoWebServices"= 1 (0x1)
"NoOnlinePrintsWizard"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"TaskbarNoNotification"= 1 (0x1)
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DrvIcon
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Glass2k
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\itype
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Radiotracker
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX8400 Series]
2007-04-12 06:00 182272 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATICEE.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2009-07-27 15:17 133104 ----atw- c:\dokumente und einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSPower]
2007-08-03 14:07 53248 -c--a-w- c:\windows\system32\SiSPower.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-11 03:17 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2007-12-06 06:20 1024000 -c--a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Messenger"=2 (0x2)
"Bonjour Service"=2 (0x2)
"gupdate"=2 (0x2)
"PDSched"=3 (0x3)
"PDEngine"=3 (0x3)
"MySql"=2 (0x2)
"iPod Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"Apache2.2"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"XAMPP"=3 (0x3)
"wuauserv"=2 (0x2)
"MDM"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"IDriverT"=3 (0x3)
"FileZilla Server"=3 (0x3)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Koch Media\\Carcassonne CE\\Carcassonne.exe"=
"c:\\Imperialismus\\Imperialismus.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"8009:TCP"= 8009:TCP:AJP/1.3
R0 Vax347s;Vax347s;c:\windows\system32\drivers\Vax347s.sys [25.04.2008 12:57 5248]
S3 CE9500;CE9500.Sys (Enh) driver;c:\windows\system32\drivers\ce9500enh.sys [30.04.2008 09:47 172672]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [25.04.2008 16:58 264704]
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\PLCNDIS5.SYS [22.09.2005 00:20 17280]
S4 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.04.2009 19:42 135336]
S4 Vax347b;Vax347b;c:\windows\system32\drivers\Vax347b.sys [25.04.2008 12:57 159616]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = <local>
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren
IE: Auswahl in Adobe PDF konvertieren
IE: Auswahl in vorhandene PDF-Datei konvertieren
IE: In Adobe PDF konvertieren
IE: In vorhandene PDF-Datei konvertieren
IE: Verknüpfungsziel in Adobe PDF konvertieren
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren
TCP: {3FA43F59-B94C-4CF4-8959-832EE1C49995} = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-AVMWlanClient - c:\programme\avmwlanstick\FRITZWLANMini.exe
AddRemove-HijackThis - c:\programme\85fc45ba\1ef5c90b\HijackThis.exe
AddRemove-InstallShield_{B838AD63-FD0C-482C-B124-7116748BAC45} - c:\progra~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe
AddRemove-jv16 PowerTools 2009_is1 - e:\jv16 powertools 2009\unins000.exe
AddRemove-Mozilla Firefox (3.5.8) - c:\programme\Mozilla Firefox\uninstall\helper.exe
AddRemove-Windows Media Format Runtime - c:\programme\Windows Media Player\wmsetsdk.exe
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-484763869-884357618-682003330-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2010-10-20 17:24:04
ComboFix-quarantined-files.txt 2010-10-20 15:24
Vor Suchlauf: 8.183.144.448 Bytes frei
Nach Suchlauf: 8.137.064.448 Bytes frei
- - End Of File - - 3EEE2028F102AB13AEE0F16C6C9587C6
Danke im Voraus LG Spixi P. S.: Ja, den Treiber für die W-LAN-Karte habe ich mehrfach neu installiert. |
|
20.10.2010, 18:26
| #6 |
| | Weiß nicht, was los ist, vielleicht Rootkit? Hi, nichts dabei, was einem auf den ersten Blick ins Auge sticht... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\system32\flvDX.dll
c:\windows\system32\msfDX.dll
c:\windows\system32\nbDX.dll
C:\WINDOWS\system32\FM20ENU.DLL
Cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. Spezielles OTL-Such Log: Downloade Dir bitte Rorschach's Custom Scan.txt von GeeksToGo.com und speichere diese als Scan.txt dort, wo sich auch die OTL.exe befindet. Starte nun OTL und klicke in die Custom Scans/Fixes Box. Wähle nun die zuvor gedownloadete Scan.txt aus und klicke OK. Danach klicke in OTL auf Scan. Poste bitte die OTL.txt XP-Systemdateien prüfen: sfc /scannow 1.) Start->ausführen cmd eingeben 2.) sfc /scannow eingeben 3.) XP-CD bereithalten, falls fehlerhafte Dateien gefunden werden (bei OEM-Rechnern befindet sich i. a. ein entsprechendes Verzeichnis bereits auf der Festplatte) 4.) warten... chris
__________________ --> Weiß nicht, was los ist, vielleicht Rootkit? |
|
20.10.2010, 18:45
| #7 |
| | Weiß nicht, was los ist, vielleicht Rootkit?Code:
ATTFilter File name: flvDX.dll
Submission date: 2010-10-20 17:41:17 (UTC)
Current status: queued queued analysing finished
Result: 0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.20.02 2010.10.20 -
AntiVir 7.10.13.9 2010.10.20 -
Antiy-AVL 2.0.3.7 2010.10.20 -
Authentium 5.2.0.5 2010.10.20 -
Avast 4.8.1351.0 2010.10.20 -
Avast5 5.0.594.0 2010.10.20 -
AVG 9.0.0.851 2010.10.20 -
BitDefender 7.2 2010.10.20 -
CAT-QuickHeal 11.00 2010.10.20 -
ClamAV 0.96.2.0-git 2010.10.20 -
Comodo 6450 2010.10.20 -
DrWeb 5.0.2.03300 2010.10.20 -
Emsisoft 5.0.0.50 2010.10.20 -
eSafe 7.0.17.0 2010.10.20 -
eTrust-Vet 36.1.7922 2010.10.20 -
F-Prot 4.6.2.117 2010.10.20 -
F-Secure 9.0.16160.0 2010.10.20 -
Fortinet 4.2.249.0 2010.10.20 -
GData 21 2010.10.20 -
Ikarus T3.1.1.90.0 2010.10.20 -
Jiangmin 13.0.900 2010.10.20 -
K7AntiVirus 9.66.2798 2010.10.20 -
Kaspersky 7.0.0.125 2010.10.20 -
McAfee 5.400.0.1158 2010.10.20 -
McAfee-GW-Edition 2010.1C 2010.10.20 -
Microsoft 1.6301 2010.10.20 -
NOD32 5549 2010.10.20 -
Norman 6.06.10 2010.10.20 -
nProtect 2010-10-20.01 2010.10.20 -
Panda 10.0.2.7 2010.10.20 -
PCTools 7.0.3.5 2010.10.20 -
Prevx 3.0 2010.10.20 -
Rising 22.70.01.08 2010.10.20 -
Sophos 4.58.0 2010.10.20 -
Sunbelt 7102 2010.10.20 -
SUPERAntiSpyware 4.40.0.1006 2010.10.20 -
Symantec 20101.2.0.161 2010.10.20 -
TheHacker 6.7.0.1.063 2010.10.20 -
TrendMicro 9.120.0.1004 2010.10.20 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.20 -
VBA32 3.12.14.1 2010.10.20 -
ViRobot 2010.10.20.4103 2010.10.20 -
VirusBuster 12.69.9.0 2010.10.20 -
Additional informationShow all
MD5 : 8453687a045c926f0291301ebaf50370
SHA1 : 8d756345c945b75ef63314fa8992f1b582067ff3
SHA256: 151afe783864d2fcbe6f954d1aef0cb1a157ae41848e2f0478217cddaad61967
Code:
ATTFilter File name: FM20ENU.DLL
Submission date: 2010-10-20 17:40:22 (UTC)
Current status: queued queued analysing finished
Result: 0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.20.02 2010.10.20 -
AntiVir 7.10.13.9 2010.10.20 -
Antiy-AVL 2.0.3.7 2010.10.20 -
Authentium 5.2.0.5 2010.10.20 -
Avast 4.8.1351.0 2010.10.20 -
Avast5 5.0.594.0 2010.10.20 -
AVG 9.0.0.851 2010.10.20 -
BitDefender 7.2 2010.10.20 -
CAT-QuickHeal 11.00 2010.10.20 -
ClamAV 0.96.2.0-git 2010.10.20 -
Comodo 6450 2010.10.20 -
DrWeb 5.0.2.03300 2010.10.20 -
Emsisoft 5.0.0.50 2010.10.20 -
eSafe 7.0.17.0 2010.10.20 -
eTrust-Vet 36.1.7922 2010.10.20 -
F-Prot 4.6.2.117 2010.10.20 -
F-Secure 9.0.16160.0 2010.10.20 -
Fortinet 4.2.249.0 2010.10.20 -
GData 21 2010.10.20 -
Ikarus T3.1.1.90.0 2010.10.20 -
Jiangmin 13.0.900 2010.10.20 -
K7AntiVirus 9.66.2798 2010.10.20 -
Kaspersky 7.0.0.125 2010.10.20 -
McAfee 5.400.0.1158 2010.10.20 -
McAfee-GW-Edition 2010.1C 2010.10.20 -
Microsoft 1.6301 2010.10.20 -
NOD32 5549 2010.10.20 -
Norman 6.06.10 2010.10.20 -
nProtect 2010-10-20.01 2010.10.20 -
Panda 10.0.2.7 2010.10.20 -
PCTools 7.0.3.5 2010.10.20 -
Prevx 3.0 2010.10.20 -
Rising 22.70.01.08 2010.10.20 -
Sophos 4.58.0 2010.10.20 -
Sunbelt 7102 2010.10.20 -
SUPERAntiSpyware 4.40.0.1006 2010.10.20 -
Symantec 20101.2.0.161 2010.10.20 -
TheHacker 6.7.0.1.063 2010.10.20 -
TrendMicro 9.120.0.1004 2010.10.20 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.20 -
VBA32 3.12.14.1 2010.10.20 -
ViRobot 2010.10.20.4103 2010.10.20 -
VirusBuster 12.69.9.0 2010.10.20 -
Additional informationShow all
MD5 : 35c4aee0b4742b1ee00a68d9743b818f
SHA1 : d7b2aec3cccb089fb0b1befe2f371255d18137bd
SHA256: 6b207e59186f061232a7adbdc8dfe66d09c05d3f820c2d679943a1cfc7fd9593
Code:
ATTFilter File name: msfDX.dll
Submission date: 2010-10-20 17:40:01 (UTC)
Current status: queued queued analysing finished
Result: 2/ 43 (4.7%)
VT Community
not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.20.02 2010.10.20 -
AntiVir 7.10.13.9 2010.10.20 -
Antiy-AVL 2.0.3.7 2010.10.20 -
Authentium 5.2.0.5 2010.10.20 -
Avast 4.8.1351.0 2010.10.20 -
Avast5 5.0.594.0 2010.10.20 -
AVG 9.0.0.851 2010.10.20 -
BitDefender 7.2 2010.10.20 -
CAT-QuickHeal 11.00 2010.10.20 -
ClamAV 0.96.2.0-git 2010.10.20 PUA.Packed.PECompact-1
Comodo 6450 2010.10.20 -
DrWeb 5.0.2.03300 2010.10.20 -
Emsisoft 5.0.0.50 2010.10.20 -
eSafe 7.0.17.0 2010.10.20 Suspicious File
eTrust-Vet 36.1.7922 2010.10.20 -
F-Prot 4.6.2.117 2010.10.20 -
F-Secure 9.0.16160.0 2010.10.20 -
Fortinet 4.2.249.0 2010.10.20 -
GData 21 2010.10.20 -
Ikarus T3.1.1.90.0 2010.10.20 -
Jiangmin 13.0.900 2010.10.20 -
K7AntiVirus 9.66.2798 2010.10.20 -
Kaspersky 7.0.0.125 2010.10.20 -
McAfee 5.400.0.1158 2010.10.20 -
McAfee-GW-Edition 2010.1C 2010.10.20 -
Microsoft 1.6301 2010.10.20 -
NOD32 5549 2010.10.20 -
Norman 6.06.10 2010.10.20 -
nProtect 2010-10-20.01 2010.10.20 -
Panda 10.0.2.7 2010.10.20 -
PCTools 7.0.3.5 2010.10.20 -
Prevx 3.0 2010.10.20 -
Rising 22.70.01.08 2010.10.20 -
Sophos 4.58.0 2010.10.20 -
Sunbelt 7102 2010.10.20 -
SUPERAntiSpyware 4.40.0.1006 2010.10.20 -
Symantec 20101.2.0.161 2010.10.20 -
TheHacker 6.7.0.1.063 2010.10.20 -
TrendMicro 9.120.0.1004 2010.10.20 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.20 -
VBA32 3.12.14.1 2010.10.20 -
ViRobot 2010.10.20.4103 2010.10.20 -
VirusBuster 12.69.9.0 2010.10.20 -
Additional informationShow all
MD5 : 21d8f42d54598b73c2e1a9571399113b
SHA1 : ed711faa61fdd6d53eacc7a99d60d95dd9137a7d
SHA256: 992e23bddfa1eaaf66cc7ccbef23596be5d2b47aa6a8272028092b4829bde784
Code:
ATTFilter File name: nbDX.dll
Submission date: 2010-10-20 17:41:44 (UTC)
Current status: queued (#1) queued (#1) analysing finished
Result: 2/ 43 (4.7%)
VT Community
not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.20.02 2010.10.20 -
AntiVir 7.10.13.9 2010.10.20 -
Antiy-AVL 2.0.3.7 2010.10.20 -
Authentium 5.2.0.5 2010.10.20 -
Avast 4.8.1351.0 2010.10.20 -
Avast5 5.0.594.0 2010.10.20 -
AVG 9.0.0.851 2010.10.20 -
BitDefender 7.2 2010.10.20 -
CAT-QuickHeal 11.00 2010.10.20 -
ClamAV 0.96.2.0-git 2010.10.20 PUA.Packed.PECompact-1
Comodo 6450 2010.10.20 -
DrWeb 5.0.2.03300 2010.10.20 -
Emsisoft 5.0.0.50 2010.10.20 -
eSafe 7.0.17.0 2010.10.20 Suspicious File
eTrust-Vet 36.1.7922 2010.10.20 -
F-Prot 4.6.2.117 2010.10.20 -
F-Secure 9.0.16160.0 2010.10.20 -
Fortinet 4.2.249.0 2010.10.20 -
GData 21 2010.10.20 -
Ikarus T3.1.1.90.0 2010.10.20 -
Jiangmin 13.0.900 2010.10.20 -
K7AntiVirus 9.66.2798 2010.10.20 -
Kaspersky 7.0.0.125 2010.10.20 -
McAfee 5.400.0.1158 2010.10.20 -
McAfee-GW-Edition 2010.1C 2010.10.20 -
Microsoft 1.6301 2010.10.20 -
NOD32 5549 2010.10.20 -
Norman 6.06.10 2010.10.20 -
nProtect 2010-10-20.01 2010.10.20 -
Panda 10.0.2.7 2010.10.20 -
PCTools 7.0.3.5 2010.10.20 -
Prevx 3.0 2010.10.20 -
Rising 22.70.01.08 2010.10.20 -
Sophos 4.58.0 2010.10.20 -
Sunbelt 7102 2010.10.20 -
SUPERAntiSpyware 4.40.0.1006 2010.10.20 -
Symantec 20101.2.0.161 2010.10.20 -
TheHacker 6.7.0.1.063 2010.10.20 -
TrendMicro 9.120.0.1004 2010.10.20 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.20 -
VBA32 3.12.14.1 2010.10.20 -
ViRobot 2010.10.20.4103 2010.10.20 -
VirusBuster 12.69.9.0 2010.10.20 -
Additional informationShow all
MD5 : e4b6b932b6e5ce386627ceea2a0a0f4c
SHA1 : b9bcaae7bb27161148e1301fc8d8cd3f568c6e22
SHA256: a0f6231d8f48d8579be4275b95425f80cc5f703730f5f5e9f5b8748a813282f6
|
|
| Themen zu Weiß nicht, was los ist, vielleicht Rootkit? |
| 0 bytes, adobe, antivir, antivir guard, avira, bho, bonjour, desktop, download, drahtlos, einstellungen, excel, explorer, hijack, hijackthis, internet, internet explorer, logfile, microsoft, object, plug-in, problem, programme, rootkit, rootkit?, software, system, windows, windows internet, windows xp |
Hybrid-Darstellung
