| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Windows Diagnostic vollständig entfernenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.04.2011, 22:49
| #1 |
| Gast |  Windows Diagnostic vollständig entfernen Hallo an alle Leser! Ich bitte Euch um Hilfe bei folgendem Problem: Ich habe "Windows Diagnostic" auf meinem Notebook festgestellt. Dass es sich um einen Trojaner handelt, habe ich unter anderem durch den Zugriffsversuch des "Programms" 44424968.exe auf Internet vermutet, recherchiert und glücklicherweise erkannt. Ich habe alle Hinweise unter http://www.trojaner-board.de/96619-w...entfernen.html befolgt, d.h. rkill.com und Malwarebytes durchgeführt. (Ein weiterer Quick-Scan und zweiter Vollscan brachte keine neuen Ergebnisse!) Von den aufgeführten Registry-Einträgen oder Ähnlichem habe ich allerdings leider überhaupt keine Ahnung und weiß nicht weiter. Auch per Antivir habe ich noch Einiges gefunden und gelöscht! Das "Windows Diagnostic" Fenster startet nicht mehr automatisch. Es sind aber weiterhin die Icons auf dem Desktop und die Dateien auf C: nur als versteckte Dateien zu sehen und der Desktophintergrund bleibt schwarz. Programme wie der Internet Explorer oder Firefox lassen sich nicht öffnen, nur über die Adresszeile im Windows Explorer komme ich ins Netz. Außerdem habe ich die Datei "C:\ProgramData\44424968" noch "per Hand" gefunden, die vermutlich ja eigentlich weg sein müsste!? Was tue ich nun sinnvollerweise? Ich hoffe, jemand kann mir helfen!?! Viele Grüße! Hier die Log-Files... Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6458 Windows 6.0.6001 Service Pack 1 Internet Explorer 8.0.6001.19048 27.04.2011 19:25:24 mbam-log-2011-04-27 (19-25-24).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 302446 Laufzeit: 1 Stunde(n), 14 Minute(n), 0 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: c:\Users\Snoopy\AppData\Roaming\microsoft\Windows\start menu\Programs\windows recovery (Trojan.FakeAV) -> Quarantined and deleted successfully. Infizierte Dateien: c:\Users\Snoopy\AppData\Local\Temp\tmp32B.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\Users\Snoopy\AppData\Roaming\microsoft\Windows\start menu\Programs\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully. c:\Users\Snoopy\AppData\Roaming\microsoft\Windows\start menu\Programs\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully. c:\Users\Snoopy\Desktop\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 27. April 2011 21:12 Es wird nach 2629590 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 1) [6.0.6001] Boot Modus : Normal gebootet Benutzername : Snoopy Computername : SNOOPY-PC Versionsinformationen: BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00 AVSCAN.EXE : 10.0.4.2 442024 Bytes 27.04.2011 15:26:43 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 09.12.2010 16:52:27 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:40:57 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:03:15 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:26:39 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 15:26:40 VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 15:26:40 VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 15:26:40 VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 15:26:40 VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 15:26:40 VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 15:26:40 VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 15:26:40 VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 15:26:40 VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 15:26:40 VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 15:26:40 VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 15:26:40 VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 15:26:40 VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 15:26:40 VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 15:26:40 VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 15:26:40 VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 15:26:40 VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 15:26:41 VBASE020.VDF : 7.11.7.46 2048 Bytes 27.04.2011 15:26:41 VBASE021.VDF : 7.11.7.47 2048 Bytes 27.04.2011 15:26:41 VBASE022.VDF : 7.11.7.48 2048 Bytes 27.04.2011 15:26:41 VBASE023.VDF : 7.11.7.49 2048 Bytes 27.04.2011 15:26:41 VBASE024.VDF : 7.11.7.50 2048 Bytes 27.04.2011 15:26:41 VBASE025.VDF : 7.11.7.51 2048 Bytes 27.04.2011 15:26:41 VBASE026.VDF : 7.11.7.52 2048 Bytes 27.04.2011 15:26:41 VBASE027.VDF : 7.11.7.53 2048 Bytes 27.04.2011 15:26:41 VBASE028.VDF : 7.11.7.54 2048 Bytes 27.04.2011 15:26:41 VBASE029.VDF : 7.11.7.55 2048 Bytes 27.04.2011 15:26:41 VBASE030.VDF : 7.11.7.56 2048 Bytes 27.04.2011 15:26:41 VBASE031.VDF : 7.11.7.58 41984 Bytes 27.04.2011 15:26:41 Engineversion : 8.2.4.214 AEVDF.DLL : 8.1.2.1 106868 Bytes 08.11.2010 16:40:47 AESCRIPT.DLL : 8.1.3.59 1261947 Bytes 27.04.2011 15:26:42 AESCN.DLL : 8.1.7.2 127349 Bytes 24.11.2010 17:13:35 AESBX.DLL : 8.1.3.2 254324 Bytes 24.11.2010 17:13:35 AERDL.DLL : 8.1.9.9 639347 Bytes 27.04.2011 15:26:42 AEPACK.DLL : 8.2.6.0 549237 Bytes 27.04.2011 15:26:42 AEOFFICE.DLL : 8.1.1.20 205177 Bytes 27.04.2011 15:26:42 AEHEUR.DLL : 8.1.2.105 3453303 Bytes 27.04.2011 15:26:42 AEHELP.DLL : 8.1.16.1 246134 Bytes 27.04.2011 15:26:41 AEGEN.DLL : 8.1.5.4 397684 Bytes 27.04.2011 15:26:41 AEEMU.DLL : 8.1.3.0 393589 Bytes 24.11.2010 17:13:33 AECORE.DLL : 8.1.20.2 196982 Bytes 27.04.2011 15:26:41 AEBB.DLL : 8.1.1.0 53618 Bytes 08.11.2010 16:40:47 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07 AVREP.DLL : 10.0.0.9 174120 Bytes 27.04.2011 15:26:43 AVREG.DLL : 10.0.3.2 53096 Bytes 08.11.2010 16:40:47 AVSCPLR.DLL : 10.0.4.2 84840 Bytes 27.04.2011 15:26:43 AVARKT.DLL : 10.0.22.6 231784 Bytes 09.12.2010 16:52:26 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 08.11.2010 16:40:46 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Suche nach Rootkits und aktiver Malware Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Beginn des Suchlaufs: Mittwoch, 27. April 2011 21:12 Der Suchlauf nach versteckten Objekten wird begonnen. c:\windows\system32\regsvr32.exe c:\windows\system32\regsvr32.exe [HINWEIS] Der Prozess ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '82' Modul(e) wurden durchsucht Durchsuche Prozess 'update.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '106' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'hphc_service.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'nokiaaserver.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'NclRSSrv.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'NclUSBSrv.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'ServiceLayer.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'HpqToaster.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'NokiaOviSuite.exe' - '167' Modul(e) wurden durchsucht Durchsuche Prozess 'gStart.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '96' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'ACDaemon.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'NokiaMServer.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'HCWemMON.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'opwareSE2.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'WiFiMsg.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'HPWAMain.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'QLBCTRL.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'QPService.exe' - '101' Modul(e) wurden durchsucht Durchsuche Prozess 'IAAnotif.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'sm56hlpr.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'CLSched.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqwmiex.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'IAANTMon.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'CLCapSvc.exe' - '89' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'ACService.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '125' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '90' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '89' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '155' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '118' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '648' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:' C:\Users\Snoopy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\5f1c82d7-3d9b9547 [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BO --> advert/market_patch.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BO --> search/market.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BP --> search/parser.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BJ.3 --> search/searchers.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BK.3 C:\Users\Snoopy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\322d4d71-339b3296 [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.O --> check/circle.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.O Beginne mit der Desinfektion: C:\Users\Snoopy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\322d4d71-339b3296 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.O [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d4d9de.qua' verschoben! C:\Users\Snoopy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\5f1c82d7-3d9b9547 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BK.3 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5040f6b5.qua' verschoben! Ende des Suchlaufs: Mittwoch, 27. April 2011 22:32 Benötigte Zeit: 1:17:28 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 25302 Verzeichnisse wurden überprüft 571789 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 571784 Dateien ohne Befall 3479 Archive wurden durchsucht 0 Warnungen 3 Hinweise 645453 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden |
| Themen zu Windows Diagnostic vollständig entfernen |
| .dll, antivir, avg, avira, desktop, entfernen, explorer, firefox, heuristics.reserved.word.exploit, internet, internet explorer, java/exdoer.o, microsoft, mp3, nicht öffnen, notebook, nt.dll, problem, programme, seriennummer, services.exe, start menu, suche, svchost.exe, temp, trojaner, verweise, vollständig entfernen, windows, windows diagnostic, winlogon.exe, wmp, wuauclt.exe |
Baum-Darstellung