| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschaltenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.12.2010, 01:36
| #1 |
 |  Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Habe die vom Forum geforderten Schritte ausgeführt und die Suchprotokolle unten angefügt bzw. als Anhang beigefügt. Das hier ist jetzt mein zweiter Versuch, beim ersten Mal hat mir leider keiner geantwortet. Warum weiß ich leider nicht, vielleicht weil mein Beitrag zu lang war? Habe deshalb dieses Mal auch die Suchprotokolle von Antivir und Malwarebytes weggelassen. Hier mein Problem: - nach Hochfahren: PC fährt sich selber wieder herunter und es taucht kurz ein schwarzes Feld auf mit der Überschrift auf der Leiste C: //WINDOWS/system 23 oder vielleicht auch …system 32. Danach kommt die Meldung: Das Herunterfahren des Systems wird von COMPUTERNAME/benutzername ausgelöst. Meistens konnte ich es jedoch verhindern. Ich meine, dass diese Meldung immer nur auftaucht wenn ich mit dem Internet verbunden bin!! Wie und wann ist das Problem zum ersten Mal in Erscheinung getreten? - 1. Mal (vor ca. zwei Wochen): surfte im Netz, das Antivir Suchprogramm lief und es wurden Viren gefunden, danach verschwand für kurze Zeit das Desktop und der PC wurde sehr langsam, danach hat sich der PC ausgeschalten (s.o.). Habe ihn dann wieder angeschalten und seitdem bringt er nach dem Hochfahren (bootet normal) diese Meldung. Wie gesagt habe ich die Vermutung dass das immer kommt, wenn ich Internetzugang habe. Sonst läuft der PC normal, funktioniert alles, ist auch nicht merklich langsamer als zuvor. - Habe dann auch Viren gefunden an den nachfolgenden Tagen (Antivir). An einem Tag hat Antivir sogar 16 Viren gefunden, Malwarebytes später noch am gleichen Tag 13. Es wurden jeweils die beiden Viren TR/Riner und Exploit EXP/CVE in verschiedenen Versionen gefunden: [FUND] Ist das Trojanische Pferd TR/Riner.adi C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP324\A0931578.exe [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.RC --> vmain.class ... Ich poste die beiden Suchprotokolle nicht, da sonst der Beitrag wieder zu lange wird. Leider weiß ich nicht wie ich die anhängen kann. - Wie gesagt habe ich die vom Forum geforderten Schritte ausgeführt. Es lief alles glatt, nur gmer.exe hat nicht funktioniert. Der PC ist jedes Mal beim Suchlauf bei der Datei Type: Reg Name: HKLM/SOFTWARE/Classes/CLSID/{B6A930A0-A4F5-43A5-9B4… Value: 71230 hängengeblieben. - Ich habe gestern die letzten beiden Schritte durchgeführt (5 u 6). Davor hatte ich den PC eine Woche lang nicht mehr benutzt. Der PC war zum ersten Mal sehr langsam und Malwarebytes brauchte zum Beispiel für den Quickscan ca. zwei Stunden, Antivir drei Stunden. Zudem habe ich heute bemerkt, dass nach dem Hochfahren zuerst alles normal läuft und sich die Programme normal hochfahren. Aber dann verschwinden auf einmal die Taskleiste usw. und es ist nur noch der Bildhintergrund (für bis zu einer Minute ?!) zu sehen. Danach kommen die Programme vom Desktop und die Taskleiste usw. wieder zurück. Es scheint so als würde sich der PC nach dem eigentlichen Hochfahren, nochmals hochfahren. Das Phänomen muss jetzt aber nicht gestern oder heute zum ersten Mal aufgetreten sein. Noch eine weitere Beobachtung in den letzten zwei Wochen: Wenn ich keinen Internetzugang habe, taucht die Meldung auf: No connection to the Internet is currently available. To view Internet content that has been saved on your computer, click Work Offline… Also diese Meldung kenne ich so auch nicht und kommt mir komisch vor. Wie bewertet ihr die Suchprotokolle? Was nun? Wäre echt super wenn ihr mir weiterhelfen könntet PS: Kenne mich am PC leider nicht sehr aus. defogger_disable by jpshortstuff (23.02.10.1) Log created at 00:53 on 28/11/2010 (***) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- OTL Extras logfile created on: 04.12.2010 01:48:42 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\All Users\Desktop\MFtools Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 502,00 Mb Total Physical Memory | 221,00 Mb Available Physical Memory | 44,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 66,00% Paging File free Paging file location(s): C:\pagefile.sys 756 1512 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 62,85 Gb Total Space | 26,10 Gb Free Space | 41,53% Space Free | Partition Type: NTFS Drive D: | 11,70 Gb Total Space | 4,37 Gb Free Space | 37,37% Space Free | Partition Type: FAT32 Computer Name: ****| User Name: ***| Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusOverride" = 0 "FirewallOverride" = 0 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "139:TCP" = 139:TCP:LocalSubNet  isabled:@xpsp2res.dll,-22004"445:TCP" = 445:TCP:LocalSubNet isabled:@xpsp2res.dll,-22005"137:UDP" = 137:UDP:LocalSubNet isabled:@xpsp2res.dll,-22001"138:UDP" = 138:UDP:LocalSubNet isabled:@xpsp2res.dll,-22002========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\AOL 9.0\AOL.exe" = C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0 -- File not found "C:\Programme\AOL 9.0\WAOL.exe" = C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0 -- File not found "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service) -- File not found "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer) -- File not found "C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax -- (Microsoft Corporation) "C:\Programme\NetMeeting\Conf.exe" = C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting -- (Microsoft Corporation) "C:\Programme\InterVideo\DVD7\WinDVD.exe" = C:\Programme\InterVideo\DVD7\WinDVD.exe:*:enabled:WinDVD 7 -- (InterVideo Inc.) "C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe" = C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe:*:enabled:MediaOne Gallery -- File not found "C:\Programme\BullGuard Software\BullGuard\BullGuard.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuard.exe:*:enabled:BullGuard -- File not found "C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe:*:enabled:BullGuard Update -- File not found [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\AOL 9.0\AOL.exe" = C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0 -- File not found "C:\Programme\AOL 9.0\WAOL.exe" = C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0 -- File not found "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service) -- File not found "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer) -- File not found "C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax -- (Microsoft Corporation) "C:\Programme\NetMeeting\Conf.exe" = C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting -- (Microsoft Corporation) "C:\Programme\InterVideo\DVD7\WinDVD.exe" = C:\Programme\InterVideo\DVD7\WinDVD.exe:*:enabled:WinDVD 7 -- (InterVideo Inc.) "C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe" = C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe:*:enabled:MediaOne Gallery -- File not found "C:\Programme\BullGuard Software\BullGuard\BullGuard.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuard.exe:*:enabled:BullGuard -- File not found "C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe:*:enabled:BullGuard Update -- File not found "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe" = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe:*:Enabled:Kaspersky Anti-Virus Service -- File not found "C:\Programme\Gemeinsame Dateien\aol\1220440601\ee\aolsoftware.exe" = C:\Programme\Gemeinsame Dateien\aol\1220440601\ee\aolsoftware.exe:*:Enabled:AOL Shared Components -- File not found "C:\Programme\SopCast\adv\SopAdver.exe" = C:\Programme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver -- (www.sopcast.com) "C:\Programme\SopCast\SopCast.exe" = C:\Programme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application -- (www.sopcast.com) "C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player -- () "C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.) "C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:* isabled:Firefox -- (Mozilla Corporation)"C:\Programme\PPStream\PPStream.exe" = C:\Programme\PPStream\PPStream.exe:*:Enabled:PPSÍøÂçµçÊÓ -- File not found "C:\Programme\PPStream\PPSAP.exe" = C:\Programme\PPStream\PPSAP.exe:*:Enabled:PPS ÍøÂç¼ÓËÙÆ÷ -- File not found "C:\Programme\TVAnts\Tvants.exe" = C:\Programme\TVAnts\Tvants.exe:*:Enabled:TVAnts -- File not found "C:\Programme\uusee\UUSeePlayer.exe" = C:\Programme\uusee\UUSeePlayer.exe:*:Enabled:UUPlayer -- File not found "C:\Programme\Gemeinsame Dateien\uusee\UUSeeMediaCenter.exe" = C:\Programme\Gemeinsame Dateien\uusee\UUSeeMediaCenter.exe:*:Enabled:MediaCenter -- File not found ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium "{0A2A5039-B37F-489D-B1DC-A5258DF9E697}" = FIFA 08 "{113FB2BA-2C64-4F35-8C7F-5B632677BC25}" = Windows Live Messenger "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java(TM) 6 Update 20 "{2792F12C-3515-4D69-8083-B557AF35F06F}" = LightScribe 1.4.89.1 "{31E1050B-F69F-4A16-8F5A-E44D31901250}" = Ulead DVD DiskRecorder 2.1.1 "{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3D1A6B70-3E02-49BC-88B0-916C80274632}" = Informationen über Ihren PC "{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer "{47D2103B-FD51-4017-9C20-DD408B17D726}" = Office 2003 Trial Assistant "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin "{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin "{76EFFC7C-17A6-479D-9E47-8E658C1695AE}" = Windows-Sicherungsprogramm "{871DF2BE-41D2-4334-AC33-839AF16FC8FE}" = Cisco Systems VPN Client 5.0.02.0090 "{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile "{90885A82-9673-49EA-AB39-AF776639C67C}" = InterVideo WinDVD 7 "{91120407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003 "{929408E6-D265-4174-805F-81D1D914E2A4}" = QuickTime "{94FB906A-CF42-4128-A509-D353026A607E}" = REALTEK Gigabit and Fast Ethernet NIC Driver "{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German) "{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A17EABB6-D0C6-44E5-820C-72DC7F495064}" = PaperPort "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable "{A7661EF6-352F-D5A3-B913-B762230C1031}" = Nero 7 Essentials "{AC76BA86-7AD7-1031-7B44-A71000000002}" = Adobe Reader 7.1.0 - Deutsch "{B5FDA445-CAC4-4BA6-A8FB-A7212BD439DE}" = Microsoft XML Parser "{BB9AC6BF-71B6-42A4-9689-C17D9F44E79A}" = Brother MFL-Pro Suite "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager V1.3.0 "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729) "{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01 "{FAF88B432344413595BB2DED98385684}" = DivX User Guide "1F811665-E818-4956-9173-35CD47C9DCE0" = Otto "7A1E1C4F-CC6F-4BF0-BB81-7CFC3F655564" = GemMaster Mystic "7-Zip" = 7-Zip 4.65 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11 "AOL YGP Screensaver" = AOL Meine Fotos Bildschirmschoner "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "Digitale Bibliothek" = Digitale Bibliothek "Digitale Bibliothek 2.80" = Digitale Bibliothek 2.80 "DivX Content Uploader" = DivX Content Uploader "DivX Setup.divx.com" = DivX-Setup "ERUNT_is1" = ERUNT 1.1j "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin "InstallShield_{929408E6-D265-4174-805F-81D1D914E2A4}" = QuickTime "LetsTrade" = LetsTrade Komponenten "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.5.15)" = Mozilla Firefox (3.5.15) "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "RealPlayer 6.0" = RealPlayer "SMSERIAL" = Motorola SM56 Data Fax Modem "SopCast" = SopCast 3.0.3 "StreetPlugin" = Learn2 Player (Uninstall Only) "SynTPDeinstKey" = Synaptics Pointing Device Driver "The Unzip Wizard" = The Unzip Wizard "ViewpointMediaPlayer" = Viewpoint Media Player "VLC media player" = VLC media player 0.9.6 "Windows Media Encoder 9" = Windows Media Encoder 9-Reihe "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Media Center Edition Screen Saver Screen Saver" = Windows XP Media Center Edition Screen Saver Screen Saver "Windows XP Service Pack" = Windows XP Service Pack 3 "WMCSetup" = Windows Media Connect "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "uTorrent" = µTorrent ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 26.11.2010 11:13:04 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 16:30:19 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 16:37:41 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 16:39:55 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 16:42:25 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 17:53:35 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 17:55:49 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 27.11.2010 18:37:15 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 03.12.2010 15:48:52 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 03.12.2010 20:30:20 | Computer Name = ****| Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung OTL.exe, Version 3.2.17.3, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. [ System Events ] Error - 03.12.2010 21:11:46 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:48 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:50 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:51 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:53 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:55 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:57 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:58 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:12:00 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:12:03 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. < End of report > |
|
17.12.2010, 10:19
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Hallo und
__________________ Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________ |
|
20.12.2010, 19:39
| #3 |
| | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Hallo,
__________________erstmal danke für deine Antwort  Leider konnte ich am Wochenende nicht an den PC, deshalb antworte ich auch so spät.In den nächsten Tagen werde ich versuchen möglichst bald auf deine Posts zu antworten, ich hoffe doch du postest noch Ich habe nun alle Logs gepostet die ich so habe. Sind aber alles nur quick scan logs. Den Log eines vollständigen Suchlaufs poste ich asap. Was ich bisher vergessen habe zu erwähnen ist, dass der Ton an meinem PC verzerrt ist und auch Videos nicht ruckelfrei laufen. Das Ganze hat aber nicht schon seit dem Virenfund und den ganzen Problemen angefangen, sondern erst später. Könnte evtl. zur gleichen Zeit eingetreten sein als ich defogger.exe ausgeführt habe und damit gewisse Treiber deaktiviert habe?! Mir ist zudem aufgefallen, dass wenn ich Malwarebytes laufen lasse, mein PC sehr langsam wird. Zudem braucht das Programm derzeit länger als üblich. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5190 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 26.11.2010 02:29:08 mbam-log-2010-11-26 (02-29-08).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 163121 Laufzeit: 23 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 1 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\helper (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Helper\bin\liveu.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\A360.lnk (Rogue.AntiVirus360) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5193 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 26.11.2010 16:46:12 mbam-log-2010-11-26 (16-46-12).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 163682 Laufzeit: 24 Minute(n), 26 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5193 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 26.11.2010 17:38:26 mbam-log-2010-11-26 (17-38-26).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 163411 Laufzeit: 21 Minute(n), 27 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5195 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 27.11.2010 02:04:13 mbam-log-2010-11-27 (02-04-13).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 229125 Laufzeit: 1 Stunde(n), 44 Minute(n), 35 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UWG00OSS\yH3e9ee933V03009f35002Rd368c292102T7293e1e8Q000002c0901807F0016000aJ14000601l0007316P000001070[1] (Rogue.InternetSecurity210) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5195 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 28.11.2010 00:43:20 mbam-log-2010-11-28 (00-43-20).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 163675 Laufzeit: 17 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5241 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 04.12.2010 07:25:16 mbam-log-2010-12-04 (07-25-16).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 151634 Laufzeit: 2 Stunde(n), 57 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5245 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 05.12.2010 23:39:52 mbam-log-2010-12-05 (23-39-52).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 211067 Laufzeit: 3 Stunde(n), 55 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5358 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 20.12.2010 00:03:53 mbam-log-2010-12-20 (00-03-53).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 153858 Laufzeit: 1 Stunde(n), 12 Minute(n), 46 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
20.12.2010, 20:36
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 9666
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 9666
O4 - HKCU..\Run: [Codecxml] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Padcsc\d3dbus.exe ()
:Files
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Padcsc
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.12.2010, 23:07
| #5 |
| | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Hallo, ich habe Malwarebytes durchlaufen lassen. Leider hat es ein wenig zu lange gedauert: 19 Stunden...  Und dabei ist das Programm nicht mal ganz durchgelaufen. Ich habe es dann abgebrochen, poste es aber trotzdem mal. Weil das nicht so geklappt hat wie erwünscht poste ich zudem meine beiden aktuellsten Antivir Suchprotokolle. Eines davon hat auch einen Trojaner entdeckt. Ich habe ja bereits berichtet dass Mwb schon davor deutlich länger gebraucht hat als es üblich ist. Zudem verhält es sich auch komisch: - Im Windows Task Manager wechselt der Status des Programms zwischen "Keine Rückmeldung" und "Wird ausgeführt". - Der Zähler bei "Durchsuchte Objekte" läuft nicht durch, sondern bleibt stehen, genauso wie Zähler "Laufzeit". - Immer wenn der Zähler weiter läuft/auf eine andere Zahl schaltet sind 20-60 Sekunden (laut Laufzeitzähler) vergangen. Der Zähler "Durchsuchte Objekte" schafft aber deutlich weniger Dateien als der Laufzeitzähler Sekunden. Ich würde schätzen, dass durchschnittlich ca. 7 Dateien in 20-60 Sekunden durchsucht werden. - Die beiden Zähler laufen weiter bzw. besser: schalten auf eine Zahl, wenn bei WTM der Status von "Keine Rückmeldung" auf "Wird Ausgeführt" wechselt. - Es scheint so als würde der Suchlauf/ Programm ständig unterbrochen. Deshalb der Statuswechsel im WTM zwischen "Keine Rückmeldung" und "Wird Ausgeführt" und das nicht Durchlaufen der Zähler. Liebe Grüße Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 21. Dezember 2010 12:01 Es wird nach 2264596 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : THOMAS1987 Versionsinformationen: BUILD.DAT : 10.0.0.607 31826 Bytes 30.11.2010 19:07:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 20.12.2010 01:59:45 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 20.12.2010 01:59:46 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:25:13 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 01:59:30 VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 01:59:30 VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 01:59:30 VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 01:59:30 VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 01:59:30 VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 01:59:31 VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 01:59:31 VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 01:59:31 VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 01:59:31 VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 01:59:31 VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 01:59:32 VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 01:59:32 VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 01:59:33 VBASE014.VDF : 7.11.0.53 2048 Bytes 16.12.2010 01:59:34 VBASE015.VDF : 7.11.0.54 2048 Bytes 16.12.2010 01:59:34 VBASE016.VDF : 7.11.0.55 2048 Bytes 16.12.2010 01:59:34 VBASE017.VDF : 7.11.0.56 2048 Bytes 16.12.2010 01:59:34 VBASE018.VDF : 7.11.0.57 2048 Bytes 16.12.2010 01:59:35 VBASE019.VDF : 7.11.0.58 2048 Bytes 16.12.2010 01:59:35 VBASE020.VDF : 7.11.0.59 2048 Bytes 16.12.2010 01:59:35 VBASE021.VDF : 7.11.0.60 2048 Bytes 16.12.2010 01:59:35 VBASE022.VDF : 7.11.0.61 2048 Bytes 16.12.2010 01:59:35 VBASE023.VDF : 7.11.0.62 2048 Bytes 16.12.2010 01:59:35 VBASE024.VDF : 7.11.0.63 2048 Bytes 16.12.2010 01:59:35 VBASE025.VDF : 7.11.0.64 2048 Bytes 16.12.2010 01:59:35 VBASE026.VDF : 7.11.0.65 2048 Bytes 16.12.2010 01:59:36 VBASE027.VDF : 7.11.0.66 2048 Bytes 16.12.2010 01:59:36 VBASE028.VDF : 7.11.0.67 2048 Bytes 16.12.2010 01:59:36 VBASE029.VDF : 7.11.0.68 2048 Bytes 16.12.2010 01:59:36 VBASE030.VDF : 7.11.0.69 2048 Bytes 16.12.2010 01:59:36 VBASE031.VDF : 7.11.0.84 79872 Bytes 19.12.2010 01:59:36 Engineversion : 8.2.4.126 AEVDF.DLL : 8.1.2.1 106868 Bytes 04.11.2010 23:16:38 AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 04.12.2010 16:09:13 AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 19:50:18 AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 19:50:28 AERDL.DLL : 8.1.9.2 635252 Bytes 04.11.2010 23:16:38 AEPACK.DLL : 8.2.4.5 512375 Bytes 20.12.2010 01:59:42 AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 19:50:16 AEHEUR.DLL : 8.1.2.57 3142008 Bytes 20.12.2010 01:59:41 AEHELP.DLL : 8.1.16.0 246136 Bytes 04.12.2010 16:09:02 AEGEN.DLL : 8.1.5.0 397685 Bytes 04.12.2010 16:09:02 AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 19:49:25 AECORE.DLL : 8.1.19.0 196984 Bytes 04.12.2010 16:09:01 AEBB.DLL : 8.1.1.0 53618 Bytes 04.11.2010 23:16:35 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 23:16:40 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 20.12.2010 01:59:46 AVARKT.DLL : 10.0.22.6 231784 Bytes 20.12.2010 01:59:42 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 23:16:21 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Dienstag, 21. Dezember 2010 12:01 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'WINDOW~1.SCR' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'brmfcwnd.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNSCFG.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'brctrcen.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'pptd40nt.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'Wbutton.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'OSD.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'LaunchAp.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'sm56hlpr.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNetwk.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'ehRecvr.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '120' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'brss01a.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'brsvc01a.exe' - '9' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '167' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1858' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Mozilla\Firefox\Profiles\xw3hq4xp.default\extensions\autopager@mozilla.org\chrome\autopager.jar [0] Archivtyp: ZIP --> locale/zh-CN/autopager.dtd.orig [WARNUNG] Die Datei konnte nicht gelesen werden! [WARNUNG] Die Datei konnte nicht gelesen werden! Beginne mit der Suche in 'D:\' <RECOVER> Ende des Suchlaufs: Dienstag, 21. Dezember 2010 15:46 Benötigte Zeit: 3:44:46 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7928 Verzeichnisse wurden überprüft 407978 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 407978 Dateien ohne Befall 8130 Archive wurden durchsucht 2 Warnungen 0 Hinweise 582821 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 20. Dezember 2010 12:01 Es wird nach 2264596 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : THOMAS1987 Versionsinformationen: BUILD.DAT : 10.0.0.607 31826 Bytes 30.11.2010 19:07:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 20.12.2010 01:59:45 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 20.12.2010 01:59:46 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:25:13 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 01:59:30 VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 01:59:30 VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 01:59:30 VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 01:59:30 VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 01:59:30 VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 01:59:31 VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 01:59:31 VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 01:59:31 VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 01:59:31 VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 01:59:31 VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 01:59:32 VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 01:59:32 VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 01:59:33 VBASE014.VDF : 7.11.0.53 2048 Bytes 16.12.2010 01:59:34 VBASE015.VDF : 7.11.0.54 2048 Bytes 16.12.2010 01:59:34 VBASE016.VDF : 7.11.0.55 2048 Bytes 16.12.2010 01:59:34 VBASE017.VDF : 7.11.0.56 2048 Bytes 16.12.2010 01:59:34 VBASE018.VDF : 7.11.0.57 2048 Bytes 16.12.2010 01:59:35 VBASE019.VDF : 7.11.0.58 2048 Bytes 16.12.2010 01:59:35 VBASE020.VDF : 7.11.0.59 2048 Bytes 16.12.2010 01:59:35 VBASE021.VDF : 7.11.0.60 2048 Bytes 16.12.2010 01:59:35 VBASE022.VDF : 7.11.0.61 2048 Bytes 16.12.2010 01:59:35 VBASE023.VDF : 7.11.0.62 2048 Bytes 16.12.2010 01:59:35 VBASE024.VDF : 7.11.0.63 2048 Bytes 16.12.2010 01:59:35 VBASE025.VDF : 7.11.0.64 2048 Bytes 16.12.2010 01:59:35 VBASE026.VDF : 7.11.0.65 2048 Bytes 16.12.2010 01:59:36 VBASE027.VDF : 7.11.0.66 2048 Bytes 16.12.2010 01:59:36 VBASE028.VDF : 7.11.0.67 2048 Bytes 16.12.2010 01:59:36 VBASE029.VDF : 7.11.0.68 2048 Bytes 16.12.2010 01:59:36 VBASE030.VDF : 7.11.0.69 2048 Bytes 16.12.2010 01:59:36 VBASE031.VDF : 7.11.0.84 79872 Bytes 19.12.2010 01:59:36 Engineversion : 8.2.4.126 AEVDF.DLL : 8.1.2.1 106868 Bytes 04.11.2010 23:16:38 AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 04.12.2010 16:09:13 AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 19:50:18 AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 19:50:28 AERDL.DLL : 8.1.9.2 635252 Bytes 04.11.2010 23:16:38 AEPACK.DLL : 8.2.4.5 512375 Bytes 20.12.2010 01:59:42 AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 19:50:16 AEHEUR.DLL : 8.1.2.57 3142008 Bytes 20.12.2010 01:59:41 AEHELP.DLL : 8.1.16.0 246136 Bytes 04.12.2010 16:09:02 AEGEN.DLL : 8.1.5.0 397685 Bytes 04.12.2010 16:09:02 AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 19:49:25 AECORE.DLL : 8.1.19.0 196984 Bytes 04.12.2010 16:09:01 AEBB.DLL : 8.1.1.0 53618 Bytes 04.11.2010 23:16:35 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 23:16:40 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 20.12.2010 01:59:46 AVARKT.DLL : 10.0.22.6 231784 Bytes 20.12.2010 01:59:42 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 23:16:21 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Montag, 20. Dezember 2010 12:01 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'WINDOW~1.SCR' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNSCFG.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '125' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'brctrcen.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'pptd40nt.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'Wbutton.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'OSD.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'LaunchAp.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'sm56hlpr.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '95' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNetwk.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'ehRecvr.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'brss01a.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'brsvc01a.exe' - '9' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '159' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1857' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Mozilla\Firefox\Profiles\xw3hq4xp.default\extensions\autopager@mozilla.org\chrome\autopager.jar [0] Archivtyp: ZIP --> locale/zh-CN/autopager.dtd.orig [WARNUNG] Die Datei konnte nicht gelesen werden! [WARNUNG] Die Datei konnte nicht gelesen werden! C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP328\A0936925.exe [FUND] Ist das Trojanische Pferd TR/Riner.aeu Beginne mit der Suche in 'D:\' <RECOVER> Beginne mit der Desinfektion: C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP328\A0936925.exe [FUND] Ist das Trojanische Pferd TR/Riner.aeu [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ccdd1.qua' verschoben! Ende des Suchlaufs: Montag, 20. Dezember 2010 15:32 Benötigte Zeit: 3:27:44 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7918 Verzeichnisse wurden überprüft 408003 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 408002 Dateien ohne Befall 8126 Archive wurden durchsucht 2 Warnungen 1 Hinweise 582843 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Datenbank Version: 5362 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 21.12.2010 15:12:55 mbam-log-2010-12-21 (15-12-55).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 97223 Laufzeit: 19 Stunde(n), 31 Minute(n), 13 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
21.12.2010, 23:20
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschaltenZitat:
__________________ --> Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten |
|
21.12.2010, 23:27
| #7 |
| | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Hier noch das neue OTL Log. Dazu poste ich noch zwei Antivir Logs, die gestern das Trojanische Pferd TR/Riner.aeu gefunden haben. Dabei wurden diese beiden Sachen hier, welche heute OTL nicht finden konnte, ins Quarantäneverzeichnis verschoben: Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Codecxml not found. File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Padcsc\d3dbus.exe not found. Ich dachte ich sollte das mal erwähnen. All processes killed ========== OTL ========== Prefs.js: "localhost" removed from network.proxy.http Prefs.js: 9666 removed from network.proxy.http_port Prefs.js: "localhost" removed from network.proxy.socks Prefs.js: 9050 removed from network.proxy.socks_port Prefs.js: true removed from network.proxy.socks_remote_dns Prefs.js: "localhost" removed from network.proxy.ssl Prefs.js: 9666 removed from network.proxy.ssl_port Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Codecxml not found. File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Padcsc\d3dbus.exe not found. ========== FILES ========== File\Folder C:\Dokumente und Einstellungen\***\Anwendungsdaten\Padcsc not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: *** ->Temp folder emptied: 900215 bytes ->Temporary Internet Files folder emptied: 1469024 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 73826450 bytes ->Flash cache emptied: 2152 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 183021 bytes RecycleBin emptied: 4326674 bytes Total Files Cleaned = 77,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 12212010_214315 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 20. Dezember 2010 03:15 Es wird nach 2264596 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : THOMAS1987 Versionsinformationen: BUILD.DAT : 10.0.0.607 31826 Bytes 30.11.2010 19:07:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 20.12.2010 01:59:45 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 20.12.2010 01:59:46 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:25:13 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 01:59:30 VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 01:59:30 VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 01:59:30 VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 01:59:30 VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 01:59:30 VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 01:59:31 VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 01:59:31 VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 01:59:31 VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 01:59:31 VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 01:59:31 VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 01:59:32 VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 01:59:32 VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 01:59:33 VBASE014.VDF : 7.11.0.53 2048 Bytes 16.12.2010 01:59:34 VBASE015.VDF : 7.11.0.54 2048 Bytes 16.12.2010 01:59:34 VBASE016.VDF : 7.11.0.55 2048 Bytes 16.12.2010 01:59:34 VBASE017.VDF : 7.11.0.56 2048 Bytes 16.12.2010 01:59:34 VBASE018.VDF : 7.11.0.57 2048 Bytes 16.12.2010 01:59:35 VBASE019.VDF : 7.11.0.58 2048 Bytes 16.12.2010 01:59:35 VBASE020.VDF : 7.11.0.59 2048 Bytes 16.12.2010 01:59:35 VBASE021.VDF : 7.11.0.60 2048 Bytes 16.12.2010 01:59:35 VBASE022.VDF : 7.11.0.61 2048 Bytes 16.12.2010 01:59:35 VBASE023.VDF : 7.11.0.62 2048 Bytes 16.12.2010 01:59:35 VBASE024.VDF : 7.11.0.63 2048 Bytes 16.12.2010 01:59:35 VBASE025.VDF : 7.11.0.64 2048 Bytes 16.12.2010 01:59:35 VBASE026.VDF : 7.11.0.65 2048 Bytes 16.12.2010 01:59:36 VBASE027.VDF : 7.11.0.66 2048 Bytes 16.12.2010 01:59:36 VBASE028.VDF : 7.11.0.67 2048 Bytes 16.12.2010 01:59:36 VBASE029.VDF : 7.11.0.68 2048 Bytes 16.12.2010 01:59:36 VBASE030.VDF : 7.11.0.69 2048 Bytes 16.12.2010 01:59:36 VBASE031.VDF : 7.11.0.84 79872 Bytes 19.12.2010 01:59:36 Engineversion : 8.2.4.126 AEVDF.DLL : 8.1.2.1 106868 Bytes 04.11.2010 23:16:38 AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 04.12.2010 16:09:13 AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 19:50:18 AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 19:50:28 AERDL.DLL : 8.1.9.2 635252 Bytes 04.11.2010 23:16:38 AEPACK.DLL : 8.2.4.5 512375 Bytes 20.12.2010 01:59:42 AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 19:50:16 AEHEUR.DLL : 8.1.2.57 3142008 Bytes 20.12.2010 01:59:41 AEHELP.DLL : 8.1.16.0 246136 Bytes 04.12.2010 16:09:02 AEGEN.DLL : 8.1.5.0 397685 Bytes 04.12.2010 16:09:02 AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 19:49:25 AECORE.DLL : 8.1.19.0 196984 Bytes 04.12.2010 16:09:01 AEBB.DLL : 8.1.1.0 53618 Bytes 04.11.2010 23:16:35 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 23:16:40 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 20.12.2010 01:59:46 AVARKT.DLL : 10.0.22.6 231784 Bytes 20.12.2010 01:59:42 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 23:16:21 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4e4b037f\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Beginn des Suchlaufs: Montag, 20. Dezember 2010 03:15 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'brmfcwnd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNSCFG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'brctrcen.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Wbutton.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LaunchAp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Padcsc\d3dbus.exe' C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Padcsc\d3dbus.exe [FUND] Ist das Trojanische Pferd TR/Riner.aeu [HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Codecxml> wurde erfolgreich entfernt. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e621dd0.qua' verschoben! Ende des Suchlaufs: Montag, 20. Dezember 2010 03:16 Benötigte Zeit: 01:23 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 64 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 63 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 20. Dezember 2010 03:21 Es wird nach 2264596 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : THOMAS1987 Versionsinformationen: BUILD.DAT : 10.0.0.607 31826 Bytes 30.11.2010 19:07:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 20.12.2010 01:59:45 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 20.12.2010 01:59:46 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:25:13 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 01:59:30 VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 01:59:30 VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 01:59:30 VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 01:59:30 VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 01:59:30 VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 01:59:31 VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 01:59:31 VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 01:59:31 VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 01:59:31 VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 01:59:31 VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 01:59:32 VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 01:59:32 VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 01:59:33 VBASE014.VDF : 7.11.0.53 2048 Bytes 16.12.2010 01:59:34 VBASE015.VDF : 7.11.0.54 2048 Bytes 16.12.2010 01:59:34 VBASE016.VDF : 7.11.0.55 2048 Bytes 16.12.2010 01:59:34 VBASE017.VDF : 7.11.0.56 2048 Bytes 16.12.2010 01:59:34 VBASE018.VDF : 7.11.0.57 2048 Bytes 16.12.2010 01:59:35 VBASE019.VDF : 7.11.0.58 2048 Bytes 16.12.2010 01:59:35 VBASE020.VDF : 7.11.0.59 2048 Bytes 16.12.2010 01:59:35 VBASE021.VDF : 7.11.0.60 2048 Bytes 16.12.2010 01:59:35 VBASE022.VDF : 7.11.0.61 2048 Bytes 16.12.2010 01:59:35 VBASE023.VDF : 7.11.0.62 2048 Bytes 16.12.2010 01:59:35 VBASE024.VDF : 7.11.0.63 2048 Bytes 16.12.2010 01:59:35 VBASE025.VDF : 7.11.0.64 2048 Bytes 16.12.2010 01:59:35 VBASE026.VDF : 7.11.0.65 2048 Bytes 16.12.2010 01:59:36 VBASE027.VDF : 7.11.0.66 2048 Bytes 16.12.2010 01:59:36 VBASE028.VDF : 7.11.0.67 2048 Bytes 16.12.2010 01:59:36 VBASE029.VDF : 7.11.0.68 2048 Bytes 16.12.2010 01:59:36 VBASE030.VDF : 7.11.0.69 2048 Bytes 16.12.2010 01:59:36 VBASE031.VDF : 7.11.0.84 79872 Bytes 19.12.2010 01:59:36 Engineversion : 8.2.4.126 AEVDF.DLL : 8.1.2.1 106868 Bytes 04.11.2010 23:16:38 AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 04.12.2010 16:09:13 AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 19:50:18 AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 19:50:28 AERDL.DLL : 8.1.9.2 635252 Bytes 04.11.2010 23:16:38 AEPACK.DLL : 8.2.4.5 512375 Bytes 20.12.2010 01:59:42 AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 19:50:16 AEHEUR.DLL : 8.1.2.57 3142008 Bytes 20.12.2010 01:59:41 AEHELP.DLL : 8.1.16.0 246136 Bytes 04.12.2010 16:09:02 AEGEN.DLL : 8.1.5.0 397685 Bytes 04.12.2010 16:09:02 AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 19:49:25 AECORE.DLL : 8.1.19.0 196984 Bytes 04.12.2010 16:09:01 AEBB.DLL : 8.1.1.0 53618 Bytes 04.11.2010 23:16:35 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 23:16:40 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 20.12.2010 01:59:46 AVARKT.DLL : 10.0.22.6 231784 Bytes 20.12.2010 01:59:42 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 23:16:21 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4e4b037f\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Beginn des Suchlaufs: Montag, 20. Dezember 2010 03:21 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'mrtstub.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'windows-kb890830-v3.14-delta.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'brmfcwnd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNSCFG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'brctrcen.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Wbutton.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LaunchAp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Padcsc\d3dbus.exe' C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Padcsc\d3dbus.exe [FUND] Ist das Trojanische Pferd TR/Riner.aeu [HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Codecxml> wurde erfolgreich entfernt. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e621f1e.qua' verschoben! Ende des Suchlaufs: Montag, 20. Dezember 2010 03:24 Benötigte Zeit: 02:48 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 65 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 64 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. |
|
21.12.2010, 23:56
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
22.12.2010, 23:17
| #9 |
| | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Hallo, hier das Log von Combofix: Combofix Logfile: Code:
ATTFilter ComboFix 10-12-21.01 - *** 22.12.2010 22:04:23.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.502.225 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
ADS - svchost.exe: deleted 36 bytes in 1 streams.
ADS - explorer.exe: deleted 36 bytes in 1 streams.
ADS - netcfgx.dll: deleted 36 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\pthreadVC.dll
D:\AUTORUN.INF
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
-------\Legacy_SVCHOST
((((((((((((((((((((((( Dateien erstellt von 2010-11-22 bis 2010-12-22 ))))))))))))))))))))))))))))))
.
2010-12-22 19:43 . 2010-12-22 19:44 -------- d-----w- c:\programme\CCleaner
2010-12-21 20:43 . 2010-12-21 20:43 -------- d-----w- C:\_OTL
2010-12-19 22:24 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-19 21:55 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-11-27 23:01 . 2010-11-27 23:02 -------- d-----w- c:\programme\ERUNT
2010-11-27 01:15 . 2010-11-27 01:15 -------- d-----w- c:\programme\7-Zip
2010-11-26 00:58 . 2010-11-26 00:58 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-11-26 00:57 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-26 00:57 . 2010-12-04 15:33 -------- d-----w- c:\programme\Mwb' A-M
2010-11-26 00:57 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-25 19:47 . 2010-11-25 19:47 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Helper
2010-11-23 00:23 . 2010-12-20 03:08 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Padcsc
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-21 15:50 . 2009-09-15 14:11 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-22 19:50 . 2009-09-15 14:11 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2006-07-06 15:19 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-06 00:27 . 2006-03-24 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:27 . 2006-03-24 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-11-06 00:27 . 2006-03-24 12:00 1830912 ------w- c:\windows\system32\inetcpl.cpl
2010-11-06 00:27 . 2006-03-24 12:00 17408 ------w- c:\windows\system32\corpol.dll
2010-11-03 12:25 . 2006-03-24 12:00 389120 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-03-24 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-03-24 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-03-24 12:00 1853440 ----a-w- c:\windows\system32\win32k.sys
2009-06-26 21:46 . 2009-06-26 21:44 32467048 ----a-w- c:\programme\avira_antivir_personal_de.exe
2009-03-28 15:49 . 2009-03-28 15:49 318904 ----a-w- c:\programme\wmpfirefoxplugin.exe
2009-03-05 23:07 . 2009-03-05 23:07 3813472 ----a-w- c:\programme\DivXWebPlayerInstaller.exe
2008-11-23 22:13 . 2008-11-23 22:12 270128 ----a-w- c:\programme\utorrent.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-05-09 94208]
"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SMSERIAL"="sm56hlpr.exe" [2005-09-16 557056]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-06 16251904]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2006-07-17 65536]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-07-14 798810]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-07-07 155648]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-07-07 180269]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]
Status Monitor.lnk - c:\programme\Brother\Brmfcmon\BrMfcWnd.exe [2006-10-20 802816]
VPN Client.lnk - c:\windows\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-2-6 6144]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
R1 dfaf;dfaf;c:\windows\system32\dfaf.sys [x]
R1 mailKmd;mailKmd; [x]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [x]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [x]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2010-11-04 135336]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.youtube.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\xw3hq4xp.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: AutoPager: autopager@mozilla.org - %profile%\extensions\autopager@mozilla.org
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: TVU Web Player: firefox@tvunetworks.com - %profile%\extensions\firefox@tvunetworks.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: UltraSurf Firefox Tool: {5B52016C-D097-4aec-BE61-9F129D8FDDBA} - %profile%\extensions\{5B52016C-D097-4aec-BE61-9F129D8FDDBA}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-NWEReboot - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-22 22:30
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(1996)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brsvc01a.exe
c:\windows\system32\brss01a.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\ehome\mcrdsvc.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\eHome\ehmsas.exe
c:\windows\sm56hlpr.exe
c:\windows\RTHDCPL.EXE
c:\programme\Skype\Phone\Skype.exe
c:\windows\system32\dllhost.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-22 22:53:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-12-22 21:53
Vor Suchlauf: 13 Verzeichnis(se), 27.705.704.448 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 27.676.135.424 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
[spybotsd]
timeout.old=30
- - End Of File - - 8E5F3CBD4D873C5F5B7D5E07F0555529
|
|
23.12.2010, 09:47
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
File::
c:\windows\system32\dfaf.sys
Driver::
dfaf
mailKmd
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
24.12.2010, 02:05
| #11 |
| | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Hallo, Habe das Log gepostet. Hier mal der aktuelle Stand der Dinge: - Das Problem, dass der PC versucht herunterzufahren, wenn (wie ich meine) Internetzugang besteht, ist nicht mehr aufgetaucht. - Heute (vor dem 2. Versuch mit Combofix) ist mir aber aufgefallen, dass das Desktop mit den Symbolen (auch unten in der Leiste)nach dem Hochfahren plötzlich wieder für mehrere Sekunden verschwand. Es sah so aus als wäre der PC ein zweites Mal hochgefahren (aber ohne booten...) als dann die Symbole und das ganze Desktop wieder auftauchten. Ich meine, dass ich das Phänomen schon in meinem ersten Beitrag beschrieben hätte. Die letzten Tage konnte ich das aber nicht beobachten. - Zudem deaktivieren sich Windows Firewall und Antivir des öfteren, vor allem beim Hochfahren. Auch zum Beispiel wenn Antivir Updates herunterlädt. Ist das normal? Konnte ich vor dem Virus auf dem PC nie feststellen, deshalb bin ich da misstrauisch. Vorab wünsche ich dir schon mal schöne Feiertage!! Combofix Logfile: Code:
ATTFilter ComboFix 10-12-21.01 - geigert 24.12.2010 0:30.2.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\geigert\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\geigert\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FILE ::
"c:\windows\system32\dfaf.sys"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_DFAF
-------\Service_dfaf
-------\Service_mailKmd
((((((((((((((((((((((( Dateien erstellt von 2010-11-23 bis 2010-12-23 ))))))))))))))))))))))))))))))
.
2010-12-23 22:10 . 2010-12-23 22:47 -------- d-----w- c:\windows\system32\NtmsData
2010-12-22 19:43 . 2010-12-22 19:44 -------- d-----w- c:\programme\CCleaner
2010-12-21 20:43 . 2010-12-21 20:43 -------- d-----w- C:\_OTL
2010-12-19 22:24 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-19 21:55 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-11-27 23:01 . 2010-11-27 23:02 -------- d-----w- c:\programme\ERUNT
2010-11-27 01:15 . 2010-11-27 01:15 -------- d-----w- c:\programme\7-Zip
2010-11-26 00:58 . 2010-11-26 00:58 -------- d-----w- c:\dokumente und einstellungen\geigert\Anwendungsdaten\Malwarebytes
2010-11-26 00:57 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-26 00:57 . 2010-12-04 15:33 -------- d-----w- c:\programme\Mwb' A-M
2010-11-26 00:57 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-25 19:47 . 2010-11-25 19:47 -------- d-----w- c:\dokumente und einstellungen\geigert\Anwendungsdaten\Helper
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-21 15:50 . 2009-09-15 14:11 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-22 19:50 . 2009-09-15 14:11 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2006-07-06 15:19 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-06 00:27 . 2006-03-24 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:27 . 2006-03-24 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-11-06 00:27 . 2006-03-24 12:00 1830912 ------w- c:\windows\system32\inetcpl.cpl
2010-11-06 00:27 . 2006-03-24 12:00 17408 ------w- c:\windows\system32\corpol.dll
2010-11-03 12:25 . 2006-03-24 12:00 389120 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-03-24 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-03-24 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-03-24 12:00 1853440 ----a-w- c:\windows\system32\win32k.sys
2009-06-26 21:46 . 2009-06-26 21:44 32467048 ----a-w- c:\programme\avira_antivir_personal_de.exe
2009-03-28 15:49 . 2009-03-28 15:49 318904 ----a-w- c:\programme\wmpfirefoxplugin.exe
2009-03-05 23:07 . 2009-03-05 23:07 3813472 ----a-w- c:\programme\DivXWebPlayerInstaller.exe
2008-11-23 22:13 . 2008-11-23 22:12 270128 ----a-w- c:\programme\utorrent.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-05-09 94208]
"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SMSERIAL"="sm56hlpr.exe" [2005-09-16 557056]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-06 16251904]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2006-07-17 65536]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-07-14 798810]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-07-07 155648]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-07-07 180269]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]
Status Monitor.lnk - c:\programme\Brother\Brmfcmon\BrMfcWnd.exe [2006-10-20 802816]
VPN Client.lnk - c:\windows\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-2-6 6144]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [x]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [x]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2010-11-04 135336]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.youtube.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\geigert\Anwendungsdaten\Mozilla\Firefox\Profiles\xw3hq4xp.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: AutoPager: autopager@mozilla.org - %profile%\extensions\autopager@mozilla.org
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: TVU Web Player: firefox@tvunetworks.com - %profile%\extensions\firefox@tvunetworks.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: UltraSurf Firefox Tool: {5B52016C-D097-4aec-BE61-9F129D8FDDBA} - %profile%\extensions\{5B52016C-D097-4aec-BE61-9F129D8FDDBA}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-24 00:59
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2696)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brsvc01a.exe
c:\windows\system32\brss01a.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\eHome\ehRecvr.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\eHome\ehSched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\ehome\mcrdsvc.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\windows\sm56hlpr.exe
c:\windows\RTHDCPL.EXE
c:\programme\Skype\Phone\Skype.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\eHome\ehmsas.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-24 01:18:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-12-24 00:17
ComboFix2.txt 2010-12-22 21:53
Vor Suchlauf: 15 Verzeichnis(se), 27.603.632.128 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 27.591.278.592 Bytes frei
- - End Of File - - 5290DFE35DD8D3DCE0FD192841C7A0FE
|
|
25.12.2010, 00:41
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
25.12.2010, 17:31
| #13 |
| | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Hallo, hier die logs von Osam und MBR. Gmer hat leider nicht funktioniert, ist hängen geblieben. OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 15:47:52 on 25.12.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17093 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "ddbaccpl.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddbaccpl.cpl "ddbacctm.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddbacctm.cpl "DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Avira AntiVir PersonalEdition Classic" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found) "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl "QuickTime" - "Apple Computer, Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "AFGMp50 NDIS Protocol Driver" (AFGMp50) - ? - C:\WINDOWS\System32\Drivers\AFGMp50.sys (File not found) "AFGSp50 NDIS Protocol Driver" (AFGSp50) - ? - C:\WINDOWS\System32\Drivers\AFGSp50.sys (File not found) "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\cofi.exe\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys "Hotkey" (Hotkey) - ? - C:\WINDOWS\system32\drivers\Hotkey.sys (File found, but it contains no detailed information) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MHN-Treiber" (MHNDRV) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mhndrv.sys "Microsoft Standard-USB-Haupttreiber" (usbccgp) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\usbccgp.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "SASDIFSV" (SASDIFSV) - ? - C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS (File not found) "SASENUM" (SASENUM) - ? - C:\Programme\SUPERAntiSpyware\SASENUM.SYS (File not found) "SASKUTIL" (SASKUTIL) - ? - C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "vsdatant" (vsdatant) - "Zone Labs LLC" - C:\WINDOWS\system32\vsdatant.sys "Wbutton" (Wbutton) - ? - C:\WINDOWS\system32\drivers\Wbutton.sys (File not found) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL {91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} "Meine freigegebenen Ordner" - "Microsoft Corporation" - C:\Programme\MSN Messenger\fsshext.8.0.0792.00.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - ? - F:\Microsoft Office\OFFICE11\msohev.dll (File not found) {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office\MLSHEXT.DLL {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL [Internet Explorer] -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} "F-Secure Online Scanner 3.3" - "F-Secure Corporation" - C:\WINDOWS\Downloaded Program Files\fscax.dll / hxxp://support.f-secure.com/ols/fscax.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {233C1507-6A77-46A4-9443-F871F945D258} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\swdir.dll / hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab {17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / hxxp://download.microsoft.com/download/8/b/d/8bd77752-5704-4d68-a152-f7252adaa4f2/LegitCheckControl.cab {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? - (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL {898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - ? - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (File not found) {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "Adobe Reader - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE (Shortcut exists | File exists) "Status Monitor.lnk" - "Brother Industries, Ltd." - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Shortcut exists | File exists) "VPN Client.lnk" - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\vpngui.exe (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\geigert\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\\Phone\Skype.exe" /nosplash /minimized -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "ControlCenter2.0" - "Brother Industries, Ltd." - C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun "CtrlVol" - "Wistron" - "C:\Programme\Launch Manager\CtrlVol.exe" "DivXUpdate" - ? - "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW "HotkeyApp" - "Wistron" - "C:\Programme\Launch Manager\HotkeyApp.exe" "IndexSearch" - "ScanSoft, Inc." - C:\Programme\ScanSoft\PaperPort\IndexSearch.exe "LaunchAp" - ? - "C:\Programme\Launch Manager\LaunchAp.exe" "LMgrOSD" - "Wistron" - "C:\Programme\Launch Manager\OSD.exe" "NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "PaperPort PTD" - "ScanSoft, Inc." - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe "QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime "SetDefPrt" - "Brother Industories, Ltd." - C:\Programme\Brother\Brmfl05a\BrStDvPt.exe "SSBkgdUpdate" - "Scansoft, Inc." - "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" "TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "Wbutton" - ? - "C:\Programme\Launch Manager\Wbutton.exe" [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe "Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE "Messenger Sharing USN Journal Reader-Service" (usnsvc) - "Microsoft Corporation" - C:\Programme\MSN Messenger\usnsvc.dll "MHN" (MHN) - "Microsoft Corporation" - C:\WINDOWS\System32\mhn.dll "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\Desktop )----- "SCRNSAVE.EXE" - ? - C:\WINDOWS\system32\WINDOW~1.SCR (File found, but it contains no detailed information) -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000001c Kernel Drivers (total 123): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806D1000 \WINDOWS\system32\hal.dll 0xF8B35000 \WINDOWS\system32\KDCOM.DLL 0xF8A45000 \WINDOWS\system32\BOOTVID.dll 0xF8505000 ACPI.sys 0xF8B37000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF84F4000 pci.sys 0xF8635000 isapnp.sys 0xF8A49000 compbatt.sys 0xF8A4D000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF8BFD000 pciide.sys 0xF88B5000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF8B39000 intelide.sys 0xF8645000 MountMgr.sys 0xF84D5000 ftdisk.sys 0xF8B3B000 dmload.sys 0xF84AF000 dmio.sys 0xF8A51000 ACPIEC.sys 0xF8BFE000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF88BD000 PartMgr.sys 0xF8655000 VolSnap.sys 0xF8497000 atapi.sys 0xF8665000 disk.sys 0xF8675000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF8477000 fltmgr.sys 0xF8465000 sr.sys 0xF8685000 PxHelp20.sys 0xF844E000 KSecDD.sys 0xF83C1000 Ntfs.sys 0xF8394000 NDIS.sys 0xF837A000 Mup.sys 0xF86D5000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF790F000 \SystemRoot\system32\DRIVERS\ialmnt5.sys 0xF78FB000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF78D3000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF88FD000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF78AF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF8905000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF7693000 \SystemRoot\system32\DRIVERS\w29n51.sys 0xF7A30000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF7A69000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF891D000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7663000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF8BB3000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF8925000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7A59000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF8805000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF86B5000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF7640000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7622000 \SystemRoot\system32\DRIVERS\dne2000.sys 0xF8D0B000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF86C5000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7A28000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF760B000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF87D5000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF87E5000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF8935000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF75FA000 \SystemRoot\system32\DRIVERS\psched.sys 0xF87F5000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF892D000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF894D000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF75CA000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF8815000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF8BB5000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF756C000 \SystemRoot\system32\DRIVERS\update.sys 0xF8B09000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF8825000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xA95A9000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xA9585000 \SystemRoot\system32\drivers\portcls.sys 0xF7A89000 \SystemRoot\system32\drivers\drmk.sys 0xA94B6000 \SystemRoot\system32\DRIVERS\smserial.sys 0xF8A3D000 \SystemRoot\System32\Drivers\Modem.SYS 0xAA020000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF8BEF000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF8CF0000 \SystemRoot\System32\Drivers\Null.SYS 0xF8BF1000 \SystemRoot\System32\Drivers\Beep.SYS 0xF89ED000 \SystemRoot\System32\drivers\vga.sys 0xF8BF3000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8BF5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF89F5000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF89FD000 \SystemRoot\System32\Drivers\Npfs.SYS 0xAA240000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA9433000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA93DA000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA93B2000 \SystemRoot\system32\DRIVERS\netbt.sys 0xA9390000 \SystemRoot\System32\drivers\afd.sys 0xAA010000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF8A25000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xA9365000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA92F5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF832D000 \SystemRoot\System32\Drivers\Hotkey.SYS 0xAA000000 \SystemRoot\System32\Drivers\Fips.SYS 0xA92CF000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xA9FF0000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xA92A9000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF8BF9000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xA9285000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xA9A83000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xA9FC0000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF8A2D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xA9A7F000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xA926D000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF8B51000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF8AFD000 \SystemRoot\System32\drivers\Dxapi.sys 0xF8945000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF8C8E000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF020000 \SystemRoot\System32\ialmdnt5.dll 0xBF012000 \SystemRoot\System32\ialmrnt5.dll 0xBF041000 \SystemRoot\System32\ialmdev5.DLL 0xBF075000 \SystemRoot\System32\ialmdd5.DLL 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xA91B8000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA91B4000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA8EFB000 \SystemRoot\system32\drivers\wdmaud.sys 0xA9048000 \SystemRoot\system32\drivers\sysaudio.sys 0xA8CC6000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xA8D9B000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xA8968000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys 0xA8927000 \SystemRoot\System32\Drivers\HTTP.sys 0xA86DC000 \SystemRoot\system32\DRIVERS\srv.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 60): 0 System Idle Process 4 System 852 C:\WINDOWS\system32\smss.exe 956 csrss.exe 992 C:\WINDOWS\system32\winlogon.exe 1036 C:\WINDOWS\system32\services.exe 1048 C:\WINDOWS\system32\lsass.exe 1208 C:\WINDOWS\system32\svchost.exe 1308 svchost.exe 1368 C:\WINDOWS\system32\svchost.exe 1504 svchost.exe 1624 svchost.exe 1720 C:\WINDOWS\explorer.exe 1972 C:\WINDOWS\system32\brsvc01a.exe 1992 C:\WINDOWS\system32\brss01a.exe 1996 C:\WINDOWS\system32\spoolsv.exe 232 C:\Programme\Avira\AntiVir Desktop\sched.exe 760 svchost.exe 1156 C:\WINDOWS\ehome\ehtray.exe 1232 C:\WINDOWS\system32\hkcmd.exe 1412 C:\WINDOWS\system32\igfxpers.exe 1432 C:\WINDOWS\sm56hlpr.exe 1596 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1776 C:\WINDOWS\RTHDCPL.exe 1848 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe 1860 C:\Programme\Launch Manager\LaunchAp.exe 1936 C:\Programme\Launch Manager\HotkeyApp.exe 348 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 356 C:\Programme\Launch Manager\OSD.exe 372 C:\Programme\Launch Manager\WButton.exe 392 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 656 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe 712 C:\WINDOWS\ehome\ehrecvr.exe 824 C:\WINDOWS\ehome\ehSched.exe 944 C:\Programme\Brother\ControlCenter2\brctrcen.exe 1240 C:\WINDOWS\system32\svchost.exe 1084 C:\Programme\QuickTime\qttask.exe 1684 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 1712 C:\Programme\Java\jre6\bin\jqs.exe 1888 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1404 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 624 C:\Programme\DivX\DivX Update\DivXUpdate.exe 1792 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe 860 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe 912 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE 920 C:\Programme\Skype\Phone\Skype.exe 1604 C:\Programme\Windows Media Player\wmpnscfg.exe 1540 svchost.exe 2136 C:\WINDOWS\system32\svchost.exe 2228 mcrdsvc.exe 2348 C:\WINDOWS\system32\fxssvc.exe 2464 wmpnetwk.exe 1444 C:\WINDOWS\system32\wuauclt.exe 3640 C:\WINDOWS\system32\wbem\wmiapsrv.exe 3728 C:\Programme\Skype\Plugin Manager\skypePM.exe 3992 alg.exe 4032 C:\WINDOWS\ehome\ehmsas.exe 3488 C:\WINDOWS\system32\dllhost.exe 3796 C:\Programme\Mozilla Firefox\firefox.exe 2616 C:\Dokumente und Einstellungen\geigert\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000f`b6229600 (FAT32) PhysicalDrive0 Model Number: SAMSUNGMP0804H, Rev: YS200-06 Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 Windows 98 MBR code detected SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E Done! |
|
25.12.2010, 17:33
| #14 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschaltenZitat:
Hast Du noch andere Betriebssystem außer WinXP drauf? Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck nochmals aus und poste das neue Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.12.2010, 23:46
| #15 |
| | Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten Sorry dass das so lange gedauert hat. Habs nicht gleich hinbekommen, hoffe nun dass ich es richtig gemacht habe. Hier das neue Log: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000001c Kernel Drivers (total 125): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806D1000 \WINDOWS\system32\hal.dll 0xF8B35000 \WINDOWS\system32\KDCOM.DLL 0xF8A45000 \WINDOWS\system32\BOOTVID.dll 0xF8505000 ACPI.sys 0xF8B37000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF84F4000 pci.sys 0xF8635000 isapnp.sys 0xF8A49000 compbatt.sys 0xF8A4D000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF8BFD000 pciide.sys 0xF88B5000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF8B39000 intelide.sys 0xF8645000 MountMgr.sys 0xF84D5000 ftdisk.sys 0xF8B3B000 dmload.sys 0xF84AF000 dmio.sys 0xF8A51000 ACPIEC.sys 0xF8BFE000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF88BD000 PartMgr.sys 0xF8655000 VolSnap.sys 0xF8497000 atapi.sys 0xF8665000 disk.sys 0xF8675000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF8477000 fltmgr.sys 0xF8465000 sr.sys 0xF8685000 PxHelp20.sys 0xF844E000 KSecDD.sys 0xF83C1000 Ntfs.sys 0xF8394000 NDIS.sys 0xF837A000 Mup.sys 0xF86D5000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF7127000 \SystemRoot\system32\DRIVERS\ialmnt5.sys 0xF7113000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF70EB000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF8925000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF70C7000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF892D000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF6EAB000 \SystemRoot\system32\DRIVERS\w29n51.sys 0xF8345000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF86E5000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF8935000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF6E7B000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF8B69000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF893D000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF86F5000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF8705000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF8715000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF6E58000 \SystemRoot\system32\DRIVERS\ks.sys 0xF6E3A000 \SystemRoot\system32\DRIVERS\dne2000.sys 0xF8C60000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF8725000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF833D000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF6E23000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF8735000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF8745000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF8945000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF6E12000 \SystemRoot\system32\DRIVERS\psched.sys 0xF8755000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF894D000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF8955000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF6DE2000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF8765000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF8B6B000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF6D84000 \SystemRoot\system32\DRIVERS\update.sys 0xF8321000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF8785000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xA9DE1000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xA9DBD000 \SystemRoot\system32\drivers\portcls.sys 0xF87F5000 \SystemRoot\system32\drivers\drmk.sys 0xA9CEE000 \SystemRoot\system32\DRIVERS\smserial.sys 0xF89DD000 \SystemRoot\System32\Drivers\Modem.SYS 0xF8865000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF8B99000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF8D7E000 \SystemRoot\System32\Drivers\Null.SYS 0xF8B9B000 \SystemRoot\System32\Drivers\Beep.SYS 0xF8905000 \SystemRoot\System32\drivers\vga.sys 0xF8B9F000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8BA1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF8A05000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF8A0D000 \SystemRoot\System32\Drivers\Npfs.SYS 0xAA73B000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA8C75000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA8C1C000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA8BF4000 \SystemRoot\system32\DRIVERS\netbt.sys 0xA8BD2000 \SystemRoot\System32\drivers\afd.sys 0xF86A5000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF8A1D000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xA85F7000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xA8DE6000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xA85CC000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA855C000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xAA495000 \SystemRoot\System32\Drivers\Hotkey.SYS 0xA8DD6000 \SystemRoot\System32\Drivers\Fips.SYS 0xAA47D000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xA8DB6000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF897D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xA9CE6000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xA7000000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF8B59000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xA6FDC000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xA6FC4000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF8B5F000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xAA489000 \SystemRoot\System32\drivers\Dxapi.sys 0xA7657000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF8CCC000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF020000 \SystemRoot\System32\ialmdnt5.dll 0xBF012000 \SystemRoot\System32\ialmrnt5.dll 0xBF041000 \SystemRoot\System32\ialmdev5.DLL 0xBF075000 \SystemRoot\System32\ialmdd5.DLL 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xA6FAF000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA8D4A000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA6E32000 \SystemRoot\system32\drivers\wdmaud.sys 0xA861D000 \SystemRoot\system32\drivers\sysaudio.sys 0xA6CC5000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xAA42D000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xA671B000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys 0xA6612000 \SystemRoot\System32\Drivers\HTTP.sys 0xA64A2000 \SystemRoot\system32\DRIVERS\srv.sys 0xA5A56000 \SystemRoot\system32\drivers\kmixer.sys 0xF8BC5000 \SystemRoot\system32\drivers\splitter.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 60): 0 System Idle Process 4 System 840 C:\WINDOWS\system32\smss.exe 944 csrss.exe 968 C:\WINDOWS\system32\winlogon.exe 1012 C:\WINDOWS\system32\services.exe 1024 C:\WINDOWS\system32\lsass.exe 1184 C:\WINDOWS\system32\svchost.exe 1284 svchost.exe 1324 C:\WINDOWS\system32\svchost.exe 1392 svchost.exe 1552 svchost.exe 1704 C:\WINDOWS\explorer.exe 1952 C:\WINDOWS\system32\brsvc01a.exe 1968 C:\WINDOWS\system32\brss01a.exe 1980 C:\WINDOWS\system32\spoolsv.exe 2028 C:\Programme\Avira\AntiVir Desktop\sched.exe 284 svchost.exe 352 C:\WINDOWS\ehome\ehtray.exe 384 C:\WINDOWS\system32\hkcmd.exe 408 C:\WINDOWS\system32\igfxpers.exe 612 C:\WINDOWS\sm56hlpr.exe 636 C:\WINDOWS\RTHDCPL.exe 744 C:\Programme\Launch Manager\LaunchAp.exe 860 C:\Programme\Launch Manager\HotkeyApp.exe 876 C:\Programme\Launch Manager\OSD.exe 884 C:\Programme\Launch Manager\WButton.exe 1236 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 1380 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe 1628 C:\Programme\Brother\ControlCenter2\brctrcen.exe 1636 C:\Programme\QuickTime\qttask.exe 1812 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 1880 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1116 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 180 C:\Programme\Avira\AntiVir Desktop\avguard.exe 392 C:\Programme\DivX\DivX Update\DivXUpdate.exe 1620 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe 792 C:\Programme\Skype\Phone\Skype.exe 1200 C:\Programme\Windows Media Player\wmpnscfg.exe 188 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe 280 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 452 C:\WINDOWS\ehome\ehrecvr.exe 576 C:\WINDOWS\ehome\ehSched.exe 1448 C:\WINDOWS\system32\svchost.exe 1560 C:\Programme\Java\jre6\bin\jqs.exe 2056 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe 2100 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE 2180 svchost.exe 2220 C:\WINDOWS\system32\svchost.exe 2308 mcrdsvc.exe 2424 C:\WINDOWS\system32\fxssvc.exe 2480 wmpnetwk.exe 3652 C:\WINDOWS\system32\wuauclt.exe 3772 C:\WINDOWS\ehome\ehmsas.exe 4040 wmiprvse.exe 2816 C:\WINDOWS\system32\dllhost.exe 3176 C:\Programme\Skype\Plugin Manager\skypePM.exe 3444 alg.exe 3352 C:\WINDOWS\system32\wbem\wmiapsrv.exe 2856 C:\Dokumente und Einstellungen\geigert\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000f`b6229600 (FAT32) PhysicalDrive0 Model Number: SAMSUNGMP0804H, Rev: YS200-06 Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A Done! |
|
| Themen zu Nach Trojanerfund (TR/Riner)-PC versucht sich selber auszuschalten |
| .com, 0x8007042, 7-zip, adobe, antivir, avira, computer, desktop, einstellungen, error, fehler, firefox.exe, flash player, herunterfahren, hängen, internet, langsam, launch, location, logfile, media center, mozilla, oldtimer, otl.exe, pc normal, problem, realtek, registry, routine, rundll, saver, security, sehr langsam, shell32.dll, super, system restore, taskleiste, tcp, udp, viren, vlc media player, warum, windows internet |
Linear-Darstellung
