Generic Host Process for Win32 Services hat ein Problem festgestellt = W32/Generic.worm!p2p Liste der Anhänge anzeigen (Anzahl: 1) Hallo! Bei mir hat das Dilemma angefangen mit dem Trojaner der "Bundespolizei". Bis ich dann irgendwann schnell genug den TaskManager öffnen konnte und einen verdächtigen Prozess stoppen konnte ging lange garnichts. Ich schaue mir nun die Quarantäne von Antivir aus der Zeit an und sehe: (chronologisch gegen den Uhrzeigersinn) Typ: Datei Quelle: C:\Dokumente und Einstellungen\Günter\Lokale Einstellungen\Anwendungsdaten\Google\Update\Download\{8A69D345-D564-463C-AFF1-A69D9E530F96}\12.0.742.122\chrome_updater.exe Status: Infiziert Quarantäne-Objekt: 4c7e2981.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.06.22 Virendefinitionsdatei: 7.11.12.160 Meldung: Ist das Trojanische Pferd TR/Spy.502272.17 Datum/Uhrzeit: 29.07.2011, 12:16 Typ: Datei Quelle: C:\System Volume Information\_restore{401093B3-5200-46DD-AA1D-9246D801F681}\RP55\A0034373.exe Status: Infiziert Quarantäne-Objekt: 4c8a0162.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.242 Virendefinitionsdatei: 7.11.08.73 Meldung: Ist das Trojanische Pferd TR/Trash.Gen Datum/Uhrzeit: 20.05.2011, 19:07 Typ: Datei Quelle: C:\System Volume Information\_restore{401093B3-5200-46DD-AA1D-9246D801F681}\RP55\A0034368.exe Status: Infiziert Quarantäne-Objekt: 4c8a3ea0.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.242 Virendefinitionsdatei: 7.11.08.73 Meldung: Ist das Trojanische Pferd TR/Jorik.SpyEyes.lj Datum/Uhrzeit: 20.05.2011, 19:06 Typ: Datei Quelle: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UEPSSI9T\b9c33[1].pdf Status: Infiziert Quarantäne-Objekt: 4dafc20e.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Enthält Erkennungsmuster des Exploits EXP/Pidief.oab Datum/Uhrzeit: 07.05.2011, 17:20 Typ: Datei Quelle: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01VPQBC9\index[2].htm Status: Infiziert Quarantäne-Objekt: 4daec239.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2 Datum/Uhrzeit: 07.05.2011, 17:19 Typ: Datei Quelle: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1AWFTA1E\index[2].htm Status: Infiziert Quarantäne-Objekt: 5539ed9e.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2 Datum/Uhrzeit: 07.05.2011, 17:19 Typ: Datei Quelle: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1AWFTA1E\index[3].htm Status: Infiziert Quarantäne-Objekt: 0766b776.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2 Datum/Uhrzeit: 07.05.2011, 17:19 Typ: Datei Quelle: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01VPQBC9\index[1].htm Status: Infiziert Quarantäne-Objekt: 4daec273.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2 Datum/Uhrzeit: 07.05.2011, 17:17 Typ: Datei Quelle: C:\Recycle.Bin\Recycle.Bin.exe Status: Infiziert Quarantäne-Objekt: 4daffd0e.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Ist das Trojanische Pferd TR/Jorik.SpyEyes.lj Datum/Uhrzeit: 07.05.2011, 16:49 Typ: Datei Quelle: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1AWFTA1E\index[1].htm Status: Infiziert Quarantäne-Objekt: 4daefb0a.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2 Datum/Uhrzeit: 07.05.2011, 16:41 Typ: Datei Quelle: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UEPSSI9T\index[2].htm Status: Infiziert Quarantäne-Objekt: 4daef241.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2 Datum/Uhrzeit: 07.05.2011, 16:39 Typ: Datei Quelle: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1AWFTA1E\index[1].htm Status: Infiziert Quarantäne-Objekt: 5539dccc.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2 Datum/Uhrzeit: 07.05.2011, 16:34 Typ: Datei Quelle: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1AWFTA1E\index[1].htm Status: Infiziert Quarantäne-Objekt: 4daef9b4.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2 Datum/Uhrzeit: 07.05.2011, 16:34 Typ: Datei Quelle: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1AWFTA1E\index[1].htm Status: Infiziert Quarantäne-Objekt: 5539d500.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2 Datum/Uhrzeit: 07.05.2011, 16:01 Typ: Datei Quelle: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1AWFTA1E\index[1].htm Status: Infiziert Quarantäne-Objekt: 4daef070.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.228 Virendefinitionsdatei: 7.11.07.176 Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2 Datum/Uhrzeit: 07.05.2011, 16:01 Typ: Datei Quelle: C:\Dokumente und Einstellungen\Günter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UP711OTO\setup[1].exe Status: Infiziert Quarantäne-Objekt: 4d7e06b9.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.226 Virendefinitionsdatei: 7.11.07.146 Meldung: Ist das Trojanische Pferd TR/Obfuscate.OH.11 Datum/Uhrzeit: 04.05.2011, 21:22 Typ: Datei Quelle: C:\Dokumente und Einstellungen\Günter\Eigene Dateien\Downloads\XvidSetup.exe Status: Infiziert Quarantäne-Objekt: 4cbdb19a.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.192 Virendefinitionsdatei: 7.11.05.79 Meldung: Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen2 Datum/Uhrzeit: 03.04.2011, 08:15 Typ: Datei Quelle: C:\Dokumente und Einstellungen\Günter\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_0008a2 Status: Infiziert Quarantäne-Objekt: 4f74b1b7.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.192 Virendefinitionsdatei: 7.11.05.79 Meldung: Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen2 Datum/Uhrzeit: 03.04.2011, 08:15 Typ: Datei Quelle: C:\WINDOWS\system32\abiht.dll Status: Infiziert Quarantäne-Objekt: 4f9b47a7.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.122 Virendefinitionsdatei: 7.10.14.255 Meldung: Enthält Erkennungsmuster des Wurmes WORM/Conficker.Z.26 Datum/Uhrzeit: 12.12.2010, 16:35 Conficker, schöner Name. Seitdem taucht aber immer nach einiger Zeit das Fenster auf: "Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden". Bald darauf verwandelt sich die Darstellung der Taskleiste und und das System tut optisch so, als handle es sich um ein älteres Betriebssystem. (Windows 98). Bald darauf (mal schnell, mal lang) kann ich keine Verbindung mehr zu den Webseiten im Internet aufbauen, und ich kann keine neuen Audiodateien mehr öffnen. Nach einem Neustart ist Alles wieder wie gehabt. (ich habe daher immer meine gesamten Medien geöffnet, direkt nach dem Neustart und konnte so beliebig lange hören:) Seitdem ich alles mögliche gemacht habe was mir sonst so angeboten wurde durchs Lesen in anderen Foren und Google, ist mir folgendes aufgefallen: -Das Internet hält länger stand -Nach einiger Zeit kommt die Windows XP-Optik zurück -Die Tonwiedergabe ist trotzdem stumm -Es laufen immer mehrere Prozesse "svchost.exe" mit einem Gesamtdatenvolumen von ca. 40.000K -WinWormsDoorsCleaner sagt: EIN Port ist wieder geöffnet: NetBIOS (bis zur optischen Verwandlung sind alle geschlossen) -Malwarebytes findet alles ist OK, -AntiVir sagt alles ist OK, bei komplettem Suchlauf, (!!!?) -WinWormDoorClean behauptet: Congratulations, sie sind sicher,:aufsmaul: -Eusing Free Registry Cleaner 2.7 findet noch 20 von ursprünglich 130 Fehlern -Wise Fixer findet 125 Fehler (die behaupten das Win32 Probleme in 96% der Fälle auf verschandelte Reg. zurückzuführen sind) -ich habe ferner die Cookies, Verlauf, Browser und Temp Internetfiles gelöscht von allen meinen Internetprogrammen also Chrome und Firefox, InternetExplorer hab ich gleich ganz gelöscht. Tja. wie gesagt ich kann länger surfen aber so richtig geil ist das immernochnicht. Mc Afee findet in regelmäßigen Abständen den Wurm: W32/Generic.worm!p2p Deswegen bin ich mir auch nicht sicher ob ich mir den Wise Fixer zulegen soll, falls es eben ein reines Virenproblem sein sollte. Kann mir Jemand zu einer Handlung raten? ich bin auch bereit Geld auszugeben für ein gutes Programm. In einem anderes Forum sagte einer Kaspersky sei die Lösung. Was denkt ihr? Hier ist noch die Hijackthis Log: (ich hoffe das ist OK; irgendwo stand man soll nicht Hijack-Logs senden und irgendwo stand man soll...) Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 22:33:36, on 20.08.2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17095) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\McAfee\MPF\MPFSrv.exe C:\Programme\McAfee\MSK\MskSrver.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\SiteAdvisor\6172\SAService.exe c:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\WINDOWS\system32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe c:\PROGRA~1\mcafee\msc\mcuimgr.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Mozilla Firefox\firefox.exe c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe C:\Neuer Ordner\HiJackThis204.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://global.acer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=0&o=xph&d=1008&m=aoa150 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Günter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Günter\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6172\SAService.exe -- End of file - 8306 bytes Erstmal Danke dass ihr diesen langen Text gelesen habt und zweitens vielen Dank dass Ihr euer Wissen der Welt zur Verfügung stellt. ich hoffe ich habe die 7 Regeln zur Zufriedenheit eingehalten. :.) liebe Grüße Heiner :dankeschoen: PS.:das Bild von mir im Anhang ist als ein kleiner Ausgleich gedacht. :glaskugel: |
Willkommen im HijackThis.de Supportforum , ein System zu bereinigen ist unter Umständen aufwändig und mit einiger Arbeit für Dich verbunden. Bitte folgende Punkte beachten:
Schritt 1 CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
Schritt 2 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en:
Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Nun das Logfile in Code-Tags posten. |
Hallo Swiss, Danke für die Antwort.-Nur was ist denn dieses OTL ? Mein AntiVir hat da einen Trojaner gefunden der hieß so ähnlich wie du- irgendwas mit swiss. Das hat mich natürlich davon abgehalten die Datei zu öffnen. Was ist da los? mfg,heiner |
Du kannst diesr Datei vertrauen. Deaktiviere halt kurz dein Avira. |
Ok. Hier sind OTL Text und OTL Extras. SCHRITT EINS +++++++++++++++++++++++++++++++++++++++++++++++++++++++++ OTL Text: [CODE]OTL logfile created on: 22.08.2011 14:05:43 - Run 1 OTL by OldTimer - Version 3.2.26.5 Folder = C:\Dokumente und Einstellungen\Günter\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1011,88 Mb Total Physical Memory | 628,98 Mb Available Physical Memory | 62,16% Memory free 2,37 Gb Paging File | 1,92 Gb Available in Paging File | 81,07% Paging File free Paging file location(s): C:\pagefile.sys 1512 3024 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 144,17 Gb Total Space | 118,86 Gb Free Space | 82,45% Space Free | Partition Type: NTFS Computer Name: ACER-3429739CD9 | User Name: Günter | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.08.22 13:01:02 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Günter\Desktop\OTL.exe PRC - [2011.07.01 20:42:18 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.05.25 14:06:20 | 000,037,664 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2011.04.27 18:33:30 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.11.30 19:12:37 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2008.08.21 01:04:02 | 000,341,280 | ---- | M] () -- C:\Programme\SiteAdvisor\6172\SAService.exe PRC - [2008.04.13 23:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2008.04.13 23:00:00 | 000,180,224 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\dwwin.exe PRC - [2007.08.24 04:00:40 | 000,023,880 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\MSK\msksrver.exe PRC - [2007.08.15 12:36:04 | 000,359,248 | ---- | M] (McAfee, Inc.) -- c:\Programme\Gemeinsame Dateien\McAfee\McProxy\McProxy.exe PRC - [2007.08.04 03:08:06 | 000,749,904 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\MSC\mcmscsvc.exe PRC - [2007.08.03 22:33:14 | 000,582,992 | ---- | M] (McAfee, Inc.) -- c:\Programme\McAfee.com\Agent\mcagent.exe PRC - [2007.07.25 01:41:52 | 000,695,624 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan\mcsysmon.exe PRC - [2007.07.24 12:02:14 | 000,144,704 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan\Mcshield.exe PRC - [2007.07.22 20:15:18 | 002,376,992 | ---- | M] (McAfee, Inc.) -- c:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe PRC - [2007.07.18 15:54:42 | 000,856,864 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\MPF\MpfSrv.exe PRC - [2007.07.13 07:14:56 | 000,265,040 | ---- | M] (McAfee, Inc.) -- c:\Programme\McAfee\MSC\mcuimgr.exe PRC - [2007.01.04 19:48:52 | 000,112,152 | R--- | M] (InterVideo) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe ========== Modules (No Company Name) ========== MOD - [2011.05.26 13:42:00 | 000,067,872 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll MOD - [2010.06.17 15:27:02 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2010.03.15 12:28:22 | 000,141,824 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll MOD - [2008.08.21 01:04:02 | 000,341,280 | ---- | M] () -- C:\Programme\SiteAdvisor\6172\SAService.exe MOD - [2008.08.21 01:04:02 | 000,116,000 | ---- | M] () -- C:\Programme\SiteAdvisor\6172\CntScan.dll MOD - [2008.08.21 01:04:02 | 000,111,904 | ---- | M] () -- C:\Programme\SiteAdvisor\6172\APengine.dll MOD - [2008.08.21 01:04:02 | 000,070,432 | ---- | M] () -- C:\Programme\SiteAdvisor\6172\McFrmWk.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- -- (HidServ) SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) SRV - [2011.07.01 20:42:18 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.05.25 14:06:20 | 000,037,664 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2011.04.27 18:33:30 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2008.08.21 01:04:02 | 000,341,280 | ---- | M] () [Auto | Running] -- C:\Programme\SiteAdvisor\6172\SAService.exe -- (SiteAdvisor Service) SRV - [2008.04.13 23:00:00 | 000,105,472 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\p2pgasvc.dll -- (p2pgasvc) SRV - [2008.04.13 23:00:00 | 000,036,864 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\system32\iprip.dll -- (Iprip) SRV - [2007.08.24 04:00:40 | 000,023,880 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\MSK\MskSrver.exe -- (MSK80Service) SRV - [2007.08.15 12:36:04 | 000,359,248 | ---- | M] (McAfee, Inc.) [Auto | Running] -- c:\Programme\Gemeinsame Dateien\McAfee\McProxy\McProxy.exe -- (McProxy) SRV - [2007.08.04 03:08:06 | 000,749,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\MSC\mcmscsvc.exe -- (mcmscsvc) SRV - [2007.07.25 02:16:16 | 000,378,184 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee\VirusScan\mcods.exe -- (McODS) SRV - [2007.07.25 01:41:52 | 000,695,624 | ---- | M] (McAfee, Inc.) [On_Demand | Running] -- C:\Programme\McAfee\VirusScan\mcsysmon.exe -- (McSysmon) SRV - [2007.07.24 12:02:14 | 000,144,704 | ---- | M] (McAfee, Inc.) [Unknown | Running] -- C:\Programme\McAfee\VirusScan\Mcshield.exe -- (McShield) SRV - [2007.07.22 20:15:18 | 002,376,992 | ---- | M] (McAfee, Inc.) [Auto | Running] -- c:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe -- (McNASvc) SRV - [2007.07.18 15:54:42 | 000,856,864 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\MPF\MpfSrv.exe -- (MpfService) SRV - [2007.01.04 19:48:52 | 000,112,152 | R--- | M] (InterVideo) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr) ========== Driver Services (SafeList) ========== DRV - [2011.07.01 20:42:25 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.07.01 20:42:25 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.06.17 15:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2010.02.11 14:02:15 | 000,226,880 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6) DRV - [2008.07.08 03:16:26 | 000,096,856 | ---- | M] (JMicron Technology Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\jmcr.sys -- (JMCR) DRV - [2008.07.01 05:27:44 | 000,108,800 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2008.05.20 17:31:26 | 001,312,576 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416) DRV - [2008.05.20 11:53:00 | 004,800,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2007.10.01 14:59:46 | 001,769,984 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\snp2uvc.sys -- (SNP2UVC) USB2.0 PC Camera (SNP2UVC) DRV - [2007.07.24 12:02:36 | 000,033,800 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mferkdk.sys -- (mferkdk) DRV - [2007.07.24 07:40:36 | 000,079,304 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk) DRV - [2007.07.21 09:08:24 | 000,201,288 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk) DRV - [2007.07.21 09:08:24 | 000,040,488 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfesmfk.sys -- (mfesmfk) DRV - [2007.07.21 09:08:24 | 000,035,240 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk) DRV - [2007.07.13 09:20:24 | 000,113,952 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\Mpfp.sys -- (MPFP) DRV - [2006.06.10 17:19:20 | 000,205,312 | ---- | M] (SoliCall) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\solicall.sys -- (msvad_simple) DRV - [2005.01.13 14:46:16 | 000,069,632 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Acer\Empowering Technology\eRecovery\int15.sys -- (int15.sys) DRV - [1999.03.03 03:00:00 | 000,168,864 | ---- | M] (Hewlett-Packard Company) [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\HPW6ECP.SYS -- (HPW6ECP) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://global.acer.com IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=0&o=xph&d=1008&m=aoa150 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local;*.local ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Google" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.) FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\Günter\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.) FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\Günter\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.08.20 20:28:37 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{1650a312-02bc-40ee-977e-83f158701739}: C:\Programme\SiteAdvisor\6172\FF\ [2008.09.22 12:57:03 | 000,000,000 | ---D | M] [2011.04.20 13:52:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Günter\Anwendungsdaten\Mozilla\Extensions [2011.08.18 12:56:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Günter\Anwendungsdaten\Mozilla\Firefox\Profiles\px9427lo.default\extensions [2011.08.20 14:05:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2011.08.20 14:05:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\distribution\extensions [2011.08.20 14:05:38 | 000,000,000 | ---D | M] (GMX Toolbar) -- C:\Programme\Mozilla Firefox\distribution\extensions\toolbar@gmx.net File not found (No name found) -- File not found (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GüNTER\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\PX9427LO.DEFAULT\EXTENSIONS\TOOLBAR@GMX.NET.XPI [2010.10.26 16:24:17 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION [2011.08.12 05:15:34 | 000,126,976 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011.08.12 06:19:37 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.08.12 06:14:12 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011.08.12 06:19:37 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.08.12 06:19:37 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.08.12 06:19:37 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.08.12 06:19:37 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml Hosts file not found O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll () O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (McAfee Phishing Filter) - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\Programme\McAfee\MSK\mcapbho.dll () O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll (McAfee, Inc.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll () O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe () O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Günter\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm () O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O15 - HKCU\..Trusted Domains: localhost ([]http in Local intranet) O15 - HKCU\..Trusted Ranges: GD ([http] in Local intranet) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\siteadvisor {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll () O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL) - C:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Günter\Anwendungsdaten\Mozilla\Firefox\Desktop-Hintergrund.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Günter\Anwendungsdaten\Mozilla\Firefox\Desktop-Hintergrund.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.08.21 00:30:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{000a0db7-ffef-11df-bd5e-00234d4f43c4}\Shell - "" = AutoRun O33 - MountPoints2\{000a0db7-ffef-11df-bd5e-00234d4f43c4}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{000a0db7-ffef-11df-bd5e-00234d4f43c4}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.hta O33 - MountPoints2\{000a0db8-ffef-11df-bd5e-00234d4f43c4}\Shell - "" = AutoRun O33 - MountPoints2\{000a0db8-ffef-11df-bd5e-00234d4f43c4}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{000a0db8-ffef-11df-bd5e-00234d4f43c4}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ADmin.EXE O33 - MountPoints2\{c485fc7c-9bd5-11dd-bcf7-00234d4f43c4}\Shell - "" = AutoRun O33 - MountPoints2\{c485fc7c-9bd5-11dd-bcf7-00234d4f43c4}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{c485fc7c-9bd5-11dd-bcf7-00234d4f43c4}\Shell\AutoRun\command - "" = D:\setup.exe AUTORUN=1 O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: AppMgmt - File not found NetSvcs: HidServ - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - C:\WINDOWS\system32\iprip.dll (Microsoft Corporation) NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found NetSvcs: aicynck - File not found Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation) Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation) Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation) Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation) Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation) Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: VIDC.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: VIDC.IYUV - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation) Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation) Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation) Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation) Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation) Drivers32: VIDC.UYVY - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: VIDC.YUY2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: VIDC.YVU9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation) Drivers32: VIDC.YVYU - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2011.08.22 13:01:02 | 000,580,096 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Günter\Desktop\OTL.exe [2011.08.20 22:32:19 | 000,000,000 | ---D | C] -- C:\Neuer Ordner [2011.08.20 21:02:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Günter\Startmenü\Programme\Free Registry Cleaner [2011.08.20 21:02:09 | 000,000,000 | ---D | C] -- C:\Programme\Eusing Free Registry Cleaner [2011.08.20 20:48:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WiseFixer [2011.08.20 20:48:30 | 000,000,000 | ---D | C] -- C:\Programme\WiseFixer [2011.08.20 20:31:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes [2011.08.20 20:29:37 | 000,000,000 | ---D | C] -- C:\Programme\iPod [2011.08.20 20:29:31 | 000,000,000 | ---D | C] -- C:\Programme\iTunes [2011.08.20 20:24:50 | 000,000,000 | ---D | C] -- C:\Programme\Apple Software Update [2011.08.20 20:23:10 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour [2011.08.20 15:14:18 | 000,086,016 | ---- | C] (MindVision) -- C:\WINDOWS\unvise32qt.exe [2011.08.20 15:12:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime [2011.08.20 15:06:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\Downloaded Installations [2008.10.17 00:52:20 | 000,016,384 | ---- | C] ( ) -- C:\WINDOWS\System32\ClearEvent.exe [2007.04.02 06:40:54 | 000,172,032 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnp2uvc.dll [2005.11.23 01:55:32 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\csnp2uvc.dll [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.08.22 13:56:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2011.08.22 13:53:40 | 000,007,661 | ---- | M] () -- |
gibt es eine begrenzte zeichenanzahl bei posts? ich schaffe es nicht meine logs zu posten, die verbindung zur seite wird nicht aufgebaut wenn ich meine OTL und GMER log schicken will. Darf ich sie dir per PN schicken? lG*heiner PS.:Edit: ich komme gerade auf die Seite nicht klar, jetzt ist der halbe Log oben.. meine Bitte gilt nach wie vor, oder eine Anweisung wie damit umzugehen ist. |
Es sollte eigentlich klappen. Poste sie als Anhang: http://www.trojaner-board.de/69886-a...tml#post566999 |
ich lass den otl text mal raus, guckn obs dann klappt lg*heiner |
den otl text will er nicht gepostet haben. ich schicke ihn einzeln im anhang. grüße |
Schritt 1 Ich sehe das Du sogenannte Registry Cleaner am System hast. In deinem Fall <Eusing Free Registry Cleanerr>. Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner. Der Grund ist ganz einfach: Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich. Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.
Zerstörst Du die Registry, zerstörst Du Windows. Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten. Schritt 2 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
http://i94.photobucket.com/albums/l8...eWHKonsole.jpg Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: http://i94.photobucket.com/albums/l8...nstalliert.jpg Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. |
Guten Tag. Ich habe die "previous registry" mit <Eusing Free Registry Cleanerr> wieder hergestellt und das Programm danach deinstalliert. Im Anhang findest du die ComboFix.log. Sagmal, nur aus Interesse; bei wieviel Prozent des Prozesses befinden wir uns ungefähr? Vielen Dank fürs Wegleiten. heiner |
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
|
auftrag ausgeführt sir. Code: 2011/08/28 21:32:04.0812 0124 TDSS rootkit removing tool 2.5.17.0 Aug 22 2011 15:46:57 lg heiner |
Und wie läuft die Kiste? |
:,) Als ich die Kiste dann gestern Abend noch einmal heruntergefahren habe (nach dem reboot von tdssKiller) hat Windows 15 Updates gemacht. Nun bin ich jetzt seit 40 Minuten online und es kam keine GenericHost-Meldung. Ich bestätige diese frohe Nachricht nochmal, wenn nach zwei Stunden immer noch nichts passiert. Vielen Dank! der Spendenknopf lächelt mich an. ^^ alles Gute dir Swiss. Heiner |
Zitat:
Wir sind aber noch nicht ganz durch. Melde mich am Abend wieder. |
Ah gut. ich wollte dir nur noch mitteilen, dass Windows gestern nochmal 18 Updates gemacht hat und ich heute aus Interesse meine wormdoors gecheckt habe. Ich hab dann auf den offenen port DCOM RPC (Port 135) official Microsoft security bulletin gedrückt und ihn disabled. Wie soll ich es mit diesen Ports halten? Wieder Enablen? lg*heiner |
Ich weiss nicht genau für was dieser Port ist. Wenn Du dadurch keine Probleme hast dann lass ihn geschlossen. ESET Online Scanner
|
hallo! hier die eset.log Code: ESETSmartInstaller@High as downloader log: lg*heiner |
Hast Du beim Provider nachgefragt ob evtl Unterhaltsarbeiten getätigt wurden? |
bonsoir swiss, der mcAfee Guard hat wieder den W32/Generic.worm!p2p gefunden und entfernt. Dieser taucht allerdings immer im TEMP von Avira AntiVir auf. Er wird ebenfalls immer dem Prozess Avira/Antivir Desktop/avuard.exe zugeschrieben. Ist mein Antivir ein Virus? Mir wurde Norton InternetSecurity 2011 empfohlen, mit der Anmekrung dass Antivir selbst viral sein kann, und das sieht so aus. grüße heiner PS.: nein ich habe meinen Provider nicht gefragt,- wie oder wo kann ich das denn tun? |
Zitat:
Komplettscan mit Antivir machen AntiVir so einstellen, dass nur noch wichtige Ereignisse geloggt werden: Rechte Maustaste auf den AntiVir-Schirm unten rechts in der Leiste => Antivir konfigurieren => einen Haken bei "Experten-Modus" machen => Scanner aufklappen => Report auf "Standard" umstellen" => Guard aufklappen => Report auf "Standard" umstellen => mit OK AntiVir schließen. Fullscan mit Antivir machen Aktualisiere die Signaturen (Rechtsklick auf den Schirm => Update starten). Mache nun einen vollständigen Systemscan Deines Rechners mit Antivir und poste mir den Bericht hier in den Thread. Bitte die Serien-Nummer unkenntlich machen. Bericht in AntiVir finden Du kommst wie folgt an den Bericht: Antivir über Doppelklick auf den Schirm unten rechts starten => den Reiter "Berichte" anklicken => Doppelklick auf den Bericht namens "Suchlauf" => in dem aufpoppenden Fenster auf "Report" klicken => es öffnet sich Dein Editor => im Editor mit Tastenkombination STRG + A den Text markieren => mit STRG + C den Text ins Clipboard kopieren => mit STRG + V den Text hier reinkopieren. Bitte im Logfile Deine Seriennummer unkenntlich machen. |
Aloha, Ein kumpel der viel online spielt hat mir das gesagt. Aus deiner reaktion lese ich, dass du es für Unfug hälst. Meinst du denn dass AviraAntiVir (free) tatsächlich ausreicht um meinen Computer zu schützen? Ich hätte gerne einen sicheren Schutz- welchen würdest du empfehlen? hier ist der Log vom heutigen Suchlauf: Code:
|
Avira ist wirklich nicht schlecht. Zur Zeit ist MS Security Essential sehr beliebt und auch gut. Bei beiden ist der Anwender die grösste Gefahrenquelle und nicht das Programm selber. Zitat:
|
Ja das ist ein Original- es ist eine Adobe PS Testversion, bis man sie mit einer Seriennummer freischaltet. :pfeiff: Der Download war zu dem Zeitpunkt noch nicht beendet. Gut Swiss, die Kiste läuft einwandfrei und somit sieht es ganz so aus als neige sich unsere Zusammenarbeit dem Ende entgegen. Ich danke dir nochmals herzlich dass du dich meiner angenommen hast, und mir- auch wenn es nicht immer leicht war, bis zum Ende treu geblieben bist. ;.P Lass es dir gut gehen, und iss das Leben vom großen Löffel. :glaskugel: Heiner |
Logfile ist sauber :daumenhoc Hier noch die letzten paar Schritte zur Säuberung Deines Rechners. Schritt 1 Systemwiederherstellungpunkte leeren Systemwiederherstellung mit OTL leeren Lade Dir (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
Code: :Commands
Schritt 2 Tool CleanUp Starte bitte die OTL.exe. Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen. Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren. Schritt 3 Automatische Updates Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten. Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl und klicke auf OK. Stelle sicher das die automatischen Updates aktiviert sind. Schritt 4 Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
Schritt 5 Tipps für sicheres Surfen Das sind meine Vorschläge. Verwende einen alternativen Browser statt den IE. Ich empfehle Mozilla Firefox. Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
Don'ts
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:32 Uhr. |
Copyright ©2000-2024, Trojaner-Board