|
Trojaner? Brauche Hilfe (XP) Hallo, folgendes Problem. Mein Compuer hat seit einigen tagen eine sehr hohe CPU-AUslastung, und wird fürchterlich laut, nicht nur beim starten, sondern durchgehend. Die Prozesse haben sehr viel K, selbst wenn ich nicht darin arbeite, icvh starte beispeilsweise Firefox (derzeit deinstalliert) mit Google, und erreiche 106000k auslastung. Ich weis im Moment nicht, was ich tun soll, es passiert ab und zu, dass sich der komplette Computer aufhaengt und nichtmehr tut, bis zum manuellen neustart. Auch, wenn ich den Computer in den StandBy Modus versetzen will, funktioniert das nicht, er bleibt stundenlang haengen bei "Standby wird vorbereitet". Brauche wirklich hilfe, weis nicht, was ich tun sollte. Mfg Philipp |
|
So habe alles in Punkt 2 durcharbeitet. Hier die "Auswertung": Maleware: Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2378 Windows 5.1.2600 Service Pack 3 06.07.2009 09:27:38 mbam-log-2009-07-06 (09-27-38).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 177053 Laufzeit: 37 minute(s), 53 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 13 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 1 Infizierte Dateien: 25 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{733e9132-53ca-4c97-9ac9-145c4502fa20} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4b18dd50-c996-44fc-ac52-0fecff82ed58} (Spyware.Hotbar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.Shopping.Report) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ProcObsrv (Rogue.NetCom3) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\seneka (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\seneka (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seneka (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{733e9132-53ca-4c97-9ac9-145c4502fa20} (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Dateien: c:\pps.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\all users\rtrr.dll (Trojan.Agent) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\ko. songoku 33\anwendungsdaten\tuneup software\tuneup utilities\startup manager\disabled objects\legupd32.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\system volume information\_restore{2ea1948d-47e4-4128-83f7-3b90672a8f9b}\rp2\A0001374.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\system volume information\_restore{2ea1948d-47e4-4128-83f7-3b90672a8f9b}\RP2\A0001375.dll (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\fxstaller.exe.mwt (Backdoor.Bot) -> Quarantined and deleted successfully. c:\WINDOWS\amomaqawepewapa.dll.mwt (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\uzayaxubexu.dll.mwt (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\system32\wbem\proquota.exe (Trojan.Backdoor) -> Quarantined and deleted successfully. c:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully. c:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully. c:\WINDOWS\system32\twain32\user.ds.lll (Backdoor.Bot) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\ko. songoku 33\anwendungsdaten\macromedia\Common\e0de003a1.dll (Hijack.Sound) -> Quarantined and deleted successfully. C:\Programme\a.zip (Malware.Trace) -> Quarantined and deleted successfully. C:\Programme\A.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\Programme\b.zip (Malware.Trace) -> Quarantined and deleted successfully. C:\Programme\B.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\Programme\c.zip (Malware.Trace) -> Quarantined and deleted successfully. c:\WINDOWS\system32\drivers\senekaqgmnswqj.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\WINDOWS\Fonts\fontinst.exe (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully. c:\WINDOWS\system32\senekamkhxvnkt.dat (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\system32\senekawxnsbpaf.dat (Trojan.Agent) -> Quarantined and deleted successfully. |
Weiter gehts mit HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:40:08, on 06.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\eScan\TRAYICOS.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\eScan\MAILDISP.EXE c:\progra~1\escan\EconSer.exe C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe c:\progra~1\escan\eConceal.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\WINDOWS\system32\lxctcoms.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\PROGRA~1\ESCAN\SPOOLER.EXE C:\PROGRA~1\eScan\consctl.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\PROGRA~1\eScan\Vista\eScanMon.exe C:\Programme\Opera\opera.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe O4 - HKLM\..\Run: [lxctmon.exe] "C:\Programme\Lexmark 5400 Series\lxctmon.exe" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [WAB] C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e0de003a19.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user') O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [u**rl]h**p://fpdownload2.**macromedia.**com/get/shockwave/cabs/flash/swflash.cab[/url] O20 - Winlogon Notify: eSLogOn - C:\WINDOWS\SYSTEM32\eSLogOn.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: eConServ (EconService) - MicroWorld Technologies Inc. - c:\progra~1\escan\EconSer.exe O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 4406 bytes |
Und zum Schluss nochmal HiJackThis, die Uninstakll_list: Adobe Flash Player 10 Plugin Adobe Flash Player ActiveX Adobe Reader 7.0 ATI Display Driver CCleaner (remove only) Choice Guard comsummer-1024x768 Counter-Strike(TM) Die Schlacht um Mittelerde(tm) eScan Anti-Virus (AV) OEM Edition für Windows High Definition Audio Driver Package - KB888111 HijackThis 2.0.2 Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix für Windows Internet Explorer 7 (KB947864) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB952287) ICQ6.5 Jing Lexmark 5400 Series Malwarebytes' Anti-Malware Messenger Plus! Live Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 2.0 Service Pack 1 Microsoft .NET Framework 3.0 Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 German Language Pack Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 Microsoft National Language Support Downlevel APIs Microsoft Office Word Viewer 2003 Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Visual C++ 2005 Redistributable Microsoft Visual J# .NET Redistributable Package 1.1 Microsoft Works MSVCRT MSXML 4.0 SP2 (KB927978) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) neroxml NTI Backup NOW! 4 NTI CD & DVD-Maker NTI HomeVideo-Maker OCA Client history tool install Opera 9.51 Philips SPC530NC Webcam Philips VLounge Realtek High Definition Audio Driver SAMSUNG Mobile Modem Driver Set Samsung Mobile phone USB driver Software SAMSUNG Mobile USB Modem 1.0 Software SAMSUNG Mobile USB Modem Software Samsung PC Studio 3 Samsung PC Studio 3 USB Driver Installer Samsung Samples Installer Security Task Manager 1.7h Segoe UI Sicherheitsupdate für Step by Step Interactive Training (KB898458) Sicherheitsupdate für Windows Internet Explorer 7 (KB938127) Sicherheitsupdate für Windows Internet Explorer 7 (KB939653) Sicherheitsupdate für Windows Internet Explorer 7 (KB942615) Sicherheitsupdate für Windows Internet Explorer 7 (KB944533) Sicherheitsupdate für Windows Internet Explorer 7 (KB950759) Sicherheitsupdate für Windows Internet Explorer 7 (KB953838) Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player 10 (KB917734) Sicherheitsupdate für Windows Media Player 10 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows Media Player 9 (KB917734) Sicherheitsupdate für Windows XP (KB913433) Sicherheitsupdate für Windows XP (KB923561) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952004) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956572) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB959426) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) Sicherheitsupdate für Windows XP (KB960803) Sicherheitsupdate für Windows XP (KB961373) Sicherheitsupdate für Windows XP (KB961501) Sicherheitsupdate für Windows XP (KB968537) Sicherheitsupdate für Windows XP (KB969898) Sicherheitsupdate für Windows XP (KB970238) T-Online 6.0 TuneUp Utilities 2008 Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Update für Windows XP (KB961503) Update für Windows XP (KB967715) VeohTV BETA Visual C++ 2008 x86 Runtime - (v9.0.30729) Visual C++ 2008 x86 Runtime - v9.0.30729.01 Wichtiges Update für Windows Media Player 11 (KB959772) Winamp Windows Communication Foundation Windows Imaging Component Windows Live Call Windows Live Communications Platform Windows Live Essentials Windows Live Essentials Windows Live Messenger Windows Presentation Foundation Windows Presentation Foundation Language Pack (DEU) Windows Workflow Foundation Windows Workflow Foundation DE Language Pack Windows XP Service Pack 3 Windows-Treiberpaket - Philips (SPC530) Image (05/21/2008 1.01.3.6650) Windows-Treiberpaket - Philips CL (phaudlwr) MEDIA (05/07/2008 1.0.5.12) Windows-Treiberpaket - Philips USB (05/21/2008 1.01.3.6650) XML Paper Specification Shared Components Language Pack 1.0 |
Aufgrund der starken Verseuchung durch Backdoors wäre hier ein Neuaufsetzen das sinnvollste. Vorallem wenn Du Ebanking machst oder heikle Daten auf dem System liegen. Oder willst Du lieber reinigen? Gruss Swiss |
Würde gerne reinigen, habe keine Banking Daten ect. drauf, aber keine lust alles neu auf zu spielen. Was soll ich weiter machen? -> HiJackThis alles raus, neues Virenprog. oder wie? ^^ |
1. Fixen mit Hijackthis: Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Code: R3 - URLSearchHook: (no name) - - (no file)Starte den Rechner neu. 2. Combofix Wende Combofix an und poste das Log 3. F-Secure Black Light fsbl.exe Blacklight – Rootkit Erkennungs-und-Elimination Program - Lade F-Secure Blacklight auf das Desktop - Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme. - Klicke "I accept the agreement", "Next", "Scan". - wenn der Scan zu Ende ist, wähle "Close". - Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis (oder auf dem Desktop) , anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten poste das Log in deinen Beitrag im Forum 4. GMER Rootkitscan Wende GMER an und poste das Log. 5. Virenschutz: Du nutzt ESCAN als Vollversion? Alternativ würde Ich Dir Avira9 empfehlen. Gruss swiss |
ComboFix 09-07-06.02 - ko. Songoku 33 07.07.2009 9:29.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.550 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\ko. Songoku 33\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\ko. Songoku 33\Lokale Einstellungen\Anwendungsdaten\mqygcsy_navtmp.dat c:\programme\Mozilla Firefox\extensions\{40C17E45-C3B0-4F7A-872C-6721030D8DF0} c:\programme\Mozilla Firefox\extensions\{40C17E45-C3B0-4F7A-872C-6721030D8DF0}\chrome.manifest c:\programme\Mozilla Firefox\extensions\{40C17E45-C3B0-4F7A-872C-6721030D8DF0}\chrome\content\overlay.xul c:\programme\Mozilla Firefox\extensions\{40C17E45-C3B0-4F7A-872C-6721030D8DF0}\install.rdf c:\recycler\S-1-5-21-1454471165-1390067357-1801674531-1004 c:\windows\Installer\13c636c.msp c:\windows\Installer\8ae2fb.msp c:\windows\pppatc~1 c:\windows\rasqervy.dll c:\windows\regedit.com c:\windows\sdfinacs.dll c:\windows\sdfixwcs.dll c:\windows\sembly~1 c:\windows\system32\acyrghic.ini c:\windows\system32\aicvcyko.ini c:\windows\system32\ajkhecjg.ini c:\windows\system32\aqeokvsl.ini c:\windows\system32\bdbotrtf.ini c:\windows\system32\bgtkffsv.ini c:\windows\system32\bnncggey.ini c:\windows\system32\bqtegevc.ini c:\windows\system32\btyioybx.ini c:\windows\system32\bvkmhgeu.ini c:\windows\system32\bwokyian.ini c:\windows\system32\cblhekri.ini c:\windows\system32\cbmvehur.ini c:\windows\system32\cbxtuunn.ini c:\windows\system32\cmdmgbay.ini c:\windows\system32\cnfkpvji.ini c:\windows\system32\cpqcugkp.ini c:\windows\system32\cqvyruel.ini c:\windows\system32\crbaissw.ini c:\windows\system32\ctfimpfr.ini c:\windows\system32\cwkvwxen.ini c:\windows\system32\cxholjdt.ini c:\windows\system32\ddfqnags.ini c:\windows\system32\ddovpscw.ini c:\windows\system32\delteeml.ini c:\windows\system32\dfbjbnad.ini c:\windows\system32\dluyhkej.ini c:\windows\system32\dwhjvxjl.ini c:\windows\system32\elisqoep.ini c:\windows\system32\enqyeyvy.ini c:\windows\system32\ephiniks.ini c:\windows\system32\eqiispqn.ini c:\windows\system32\esrrklkj.ini c:\windows\system32\eusuyvel.ini c:\windows\system32\exmvxpvp.ini c:\windows\system32\fckkecmk.ini c:\windows\system32\febotkuc.ini c:\windows\system32\fgraokdo.ini c:\windows\system32\fhieubyo.ini c:\windows\system32\fkkfbesb.ini c:\windows\system32\fpxwbxwh.ini c:\windows\system32\fqkuolqu.ini c:\windows\system32\fvkgrejq.ini c:\windows\system32\fwkojeeq.ini c:\windows\system32\gaygkfkk.ini c:\windows\system32\gcfpukdq.ini c:\windows\system32\gdnwqlst.ini c:\windows\system32\gfyqgwjv.ini c:\windows\system32\giyeehgg.ini c:\windows\system32\gkjwbndd.ini c:\windows\system32\gofgiavj.ini c:\windows\system32\goujipjd.ini c:\windows\system32\gpmuslji.ini c:\windows\system32\gqvcukmn.ini c:\windows\system32\gvjoxxgq.ini c:\windows\system32\hadjsnqw.ini c:\windows\system32\hdbedetr.ini c:\windows\system32\hdplblya.ini c:\windows\system32\hgvjeeln.ini c:\windows\system32\hhvesqfe.ini c:\windows\system32\hjxmhodu.ini c:\windows\system32\hphjauuw.ini c:\windows\system32\hrsledjt.ini c:\windows\system32\ikcjefsh.ini c:\windows\system32\impprqkx.ini c:\windows\system32\ipgtkkbt.ini c:\windows\system32\iquetyms.ini c:\windows\system32\jbevdqjg.ini c:\windows\system32\jcwagvek.ini c:\windows\system32\jglhndix.ini c:\windows\system32\jikcxuwy.ini c:\windows\system32\jjwvrhki.ini c:\windows\system32\jliiicxl.ini c:\windows\system32\jmnwvksl.ini c:\windows\system32\jmxudsum.ini c:\windows\system32\jqjaskdf.ini c:\windows\system32\jrwdqknc.ini c:\windows\system32\kffnmmae.ini c:\windows\system32\kiljrepn.ini c:\windows\system32\knohwbea.ini c:\windows\system32\kpcvevpl.ini c:\windows\system32\kutyppvl.ini c:\windows\system32\kuyohece.ini c:\windows\system32\kwcflqpc.ini c:\windows\system32\ligpstpw.ini c:\windows\system32\lkncnfkk.ini c:\windows\system32\lmcjxhqs.ini c:\windows\system32\lmwnxolx.ini c:\windows\system32\luswbtio.ini c:\windows\system32\mcmggtun.ini c:\windows\system32\mimpnbfc.ini c:\windows\system32\mkonwqrp.ini c:\windows\system32\mpqnismk.ini c:\windows\system32\mrdpxjjb.ini c:\windows\system32\mrumeurj.ini c:\windows\system32\mtnwugyh.ini c:\windows\system32\mwnaxorc.ini c:\windows\system32\nalgqbcv.ini c:\windows\system32\nbknnljm.ini c:\windows\system32\noflqwyh.ini c:\windows\system32\nuiywoyf.ini c:\windows\system32\nvsjagii.ini c:\windows\system32\nyxgxhhg.ini c:\windows\system32\ojbdpngl.ini c:\windows\system32\okyuyomd.ini c:\windows\system32\omqlckds.ini c:\windows\system32\opwxgxel.ini c:\windows\system32\otmrfgsa.ini c:\windows\system32\otsehywi.ini c:\windows\system32\oumihjkf.ini c:\windows\system32\ovodkgjc.ini c:\windows\system32\phwyjroi.ini c:\windows\system32\plexsgiu.ini c:\windows\system32\plnhrgom.ini c:\windows\system32\pnmrulld.ini c:\windows\system32\pqgfidru.ini c:\windows\system32\pvdwfbng.ini c:\windows\system32\pwvovrjp.ini c:\windows\system32\pxgxhjho.ini c:\windows\system32\qagndqrd.ini c:\windows\system32\qepaisjm.ini c:\windows\system32\qhdyadkw.ini c:\windows\system32\qodibipw.ini c:\windows\system32\quhgvnuu.ini c:\windows\system32\qxcxfdim.ini c:\windows\system32\rbsqxxde.ini c:\windows\system32\rgmpkdch.ini c:\windows\system32\rhibdjoj.ini c:\windows\system32\rivussae.ini c:\windows\system32\rkngaycn.ini c:\windows\system32\rokmcxyn.ini c:\windows\system32\rrbkvffo.ini c:\windows\system32\rrildneq.ini c:\windows\system32\rtbrftia.ini c:\windows\system32\rxqncmti.ini c:\windows\system32\sbuehbma.ini c:\windows\system32\sfpeublv.ini c:\windows\system32\skjonwsv.ini c:\windows\system32\skwtkvbe.ini c:\windows\system32\slduehpk.ini c:\windows\system32\snxekghr.ini c:\windows\system32\sqxpjrxv.ini c:\windows\system32\taskmgr.com c:\windows\system32\tcmonqif.ini c:\windows\system32\tdluxnxb.ini c:\windows\system32\tdtbbnen.ini c:\windows\system32\tektfbsy.ini c:\windows\system32\teruvxts.ini c:\windows\system32\test.ttt c:\windows\system32\tgufxqbx.ini c:\windows\system32\tijpreny.ini c:\windows\system32\tspuyycs.ini c:\windows\system32\ttutv.bak1 c:\windows\system32\ttutv.bak2 c:\windows\system32\ttutv.ini c:\windows\system32\ttutv.ini2 c:\windows\system32\ttutv.tmp c:\windows\system32\tveduoas.ini c:\windows\system32\tvewqkxu.ini c:\windows\system32\tvhtualn.ini c:\windows\system32\ubrtftyv.ini c:\windows\system32\ucajtwqj.ini c:\windows\system32\uckweeys.ini c:\windows\system32\uffjwqfd.ini c:\windows\system32\ukolkpei.ini c:\windows\system32\uniq.tll c:\windows\system32\uolheufs.ini c:\windows\system32\upjngwfo.ini c:\windows\system32\uxvkkqjh.ini c:\windows\system32\uyjhpphv.ini c:\windows\system32\vcewcplb.ini c:\windows\system32\vesduits.ini c:\windows\system32\vfqwiwsx.ini c:\windows\system32\vkexyhlk.ini c:\windows\system32\vmmmhfmy.ini c:\windows\system32\vphhdswf.ini c:\windows\system32\vutrljgq.ini c:\windows\system32\vuuivsgc.ini c:\windows\system32\vyeohuht.ini c:\windows\system32\wbdaadgf.ini c:\windows\system32\wckycxsn.ini c:\windows\system32\whwaluaq.ini c:\windows\system32\wisafdng.ini c:\windows\system32\wkytktgi.ini c:\windows\system32\wlntrtdt.ini c:\windows\system32\wpogpuku.ini c:\windows\system32\wqnbcppv.ini c:\windows\system32\wsomqhmm.ini c:\windows\system32\wvbswcuv.ini c:\windows\system32\wxyvwjnv.ini c:\windows\system32\xbhonvls.ini c:\windows\system32\xvaoyntm.ini c:\windows\system32\xwulsvxr.ini c:\windows\system32\xxpmhxdu.ini c:\windows\system32\yamrwovs.ini c:\windows\system32\yanjvkjo.ini c:\windows\system32\ydyoamsu.ini c:\windows\system32\yeokoymo.ini c:\windows\system32\yeqpwjij.ini c:\windows\system32\yggxgolo.ini c:\windows\system32\yhrdvnla.ini c:\windows\system32\yioajisw.ini c:\windows\system32\yjabtlos.ini c:\windows\system32\yqprwocq.ini c:\windows\system32\yxjxkvqn.ini c:\windows\system32\proquota.exe fehlte Kopie von - c:\windows\ServicePackFiles\i386\proquota.exe wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2009-06-07 bis 2009-07-07 )))))))))))))))))))))))))))))) . 2009-07-07 07:19 . 2009-07-05 19:58 626688 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\msvcr80.dll 2009-07-07 07:19 . 2009-07-05 19:58 548864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\msvcp80.dll 2009-07-07 07:19 . 2009-07-05 19:58 28672 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\eEmpty.exe 2009-07-07 07:19 . 2009-04-15 17:50 598016 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\avpmapp.exe 2009-07-07 07:19 . 2009-04-14 01:11 323584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\scan.dll 2009-07-07 07:19 . 2009-03-16 17:28 221184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdfltlib.dll 2009-07-07 07:19 . 2009-01-18 17:57 53248 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\avxdisk.dll 2009-07-07 07:19 . 2009-01-18 17:57 102400 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdcore.dll 2009-07-07 07:19 . 2009-01-16 01:54 86528 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdc.exe 2009-07-07 07:19 . 2009-01-15 23:51 847872 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdupdateservice.dll 2009-07-07 07:19 . 2008-06-30 14:29 106496 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdfltlib2k.dll 2009-07-07 07:19 . 2005-10-11 22:00 77824 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdupd.dll 2009-07-06 08:19 . 2009-07-06 08:18 410984 ----a-w- c:\windows\system32\deploytk.dll 2009-07-06 08:18 . 2009-07-06 08:18 -------- d-----w- c:\programme\Java 2009-07-06 06:48 . 2009-07-06 06:48 -------- d-----w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\Malwarebytes 2009-07-06 06:48 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-07-06 06:48 . 2009-07-06 06:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-06 06:48 . 2009-07-06 06:48 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-07-06 06:48 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-07-06 06:42 . 2009-07-06 06:42 -------- d---a-w- c:\windows\system32\runouce.exe 2009-07-05 20:36 . 2009-07-05 20:36 -------- d-----w- c:\programme\CCleaner 2009-07-05 20:10 . 2009-07-05 20:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-07-05 20:08 . 2008-09-29 10:35 26632 ----a-w- c:\windows\system32\drivers\econceal.sys 2009-07-05 19:58 . 2009-07-05 19:59 5391250 ----a-w- c:\windows\REGBK00.ZIP 2009-07-05 19:58 . 2009-07-05 19:58 626688 ----a-w- c:\windows\system32\msvcr80.dll 2009-07-05 19:58 . 2009-07-05 19:58 626688 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\msvcr80.dll 2009-07-05 19:58 . 2009-07-05 19:58 548864 ----a-w- c:\windows\system32\msvcp80.dll 2009-07-05 19:58 . 2009-07-05 19:58 548864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\msvcp80.dll 2009-07-05 19:58 . 2009-07-05 19:58 28672 ----a-w- c:\windows\system32\eEmpty.exe 2009-07-05 19:58 . 2009-07-05 19:58 28672 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\eEmpty.exe 2009-07-05 19:58 . 2009-02-03 15:14 245896 ----a-w- c:\windows\system32\drivers\bdfsfltr.sys 2009-07-05 19:58 . 2009-07-05 20:18 15072 ----a-w- c:\windows\WSSPORD.DAT 2009-07-05 19:56 . 2005-10-09 16:53 125440 ----a-w- c:\windows\system32\UNZDLL.DLL 2009-07-05 19:56 . 2005-04-03 11:08 8464 ----a-w- c:\windows\system32\sporder.dll 2009-07-05 19:56 . 2005-04-03 11:08 8464 ----a-w- c:\windows\sporder.dll 2009-07-05 19:56 . 2002-12-18 15:58 32768 ----a-w- c:\windows\system32\esmxlog.dll 2009-07-05 19:56 . 2000-04-03 20:00 130560 ----a-w- c:\windows\system32\ZIPDLL.DLL 2009-07-05 19:56 . 1997-09-18 04:12 8192 ----a-w- c:\windows\sporder.exe 2009-07-05 19:56 . 2009-07-05 19:56 -------- d-----w- c:\windows\system32\FLCSS.EXE 2009-07-05 19:56 . 2009-05-18 17:33 227328 ----a-w- c:\windows\inst_tspx.exe 2009-07-05 19:56 . 2009-05-08 16:34 65536 ----a-w- c:\windows\inst_tsp.exe 2009-07-05 19:56 . 2009-05-08 16:34 524288 ----a-w- c:\windows\system32\mwtsp.dll 2009-07-05 19:56 . 2009-04-01 10:29 632320 ----a-w- c:\windows\system32\eslogon.dll 2009-07-05 19:56 . 2009-07-07 07:24 -------- d-----w- c:\programme\eScan 2009-07-05 19:56 . 2009-07-05 19:56 -------- d-----w- c:\windows\system32\ES_SETUP 2009-07-05 19:42 . 2009-07-05 19:42 -------- d-----w- c:\windows\DF5A03CCD5AA43D8B948D9903F2AF94A.TMP 2009-07-05 19:34 . 2009-07-05 19:34 -------- d-----w- c:\windows\7EC96FCD0C1246D3988AFB802F138BEB.TMP 2009-07-04 09:15 . 2009-07-05 18:43 3072 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e0de003a19.exe 2009-07-03 08:04 . 2009-07-05 18:42 3072 ----a-w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\Macromedia\Common\e0de003a19.exe 2009-06-16 14:48 . 2009-06-16 14:48 256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_7040580900063D11C8EF10054038389C.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-06 07:50 . 2006-12-30 10:15 40558 ----a-w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\wklnhst.dat 2009-07-06 06:59 . 2009-05-16 12:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan 2009-07-05 20:12 . 2009-07-05 19:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld 2009-07-05 19:57 . 2009-07-05 19:57 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld 2009-07-05 19:44 . 2006-12-31 12:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Real 2009-07-05 19:43 . 2008-06-24 16:08 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-07-05 19:33 . 2009-05-17 06:22 -------- d-----w- c:\programme\Free Window Registry Repair 2009-07-05 19:33 . 2007-09-09 15:26 -------- d-----w- c:\programme\DivX 2009-07-05 19:13 . 2006-08-08 22:59 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-06-11 20:00 . 2006-12-30 09:19 -------- d-----w- c:\programme\Microsoft Works 2009-06-09 15:32 . 2006-08-08 22:54 85558 ----a-w- c:\windows\system32\perfc007.dat 2009-06-09 15:32 . 2006-08-08 22:54 460782 ----a-w- c:\windows\system32\perfh007.dat 2009-06-05 11:40 . 2003-03-18 20:14 499712 ----a-w- c:\windows\system32\msvcp71.dll 2009-06-05 11:40 . 2003-02-21 02:42 348160 ----a-w- c:\windows\system32\msvcr71.dll 2009-06-05 11:40 . 2009-06-05 11:40 -------- d-----w- c:\programme\Real 2009-05-21 14:04 . 2009-05-21 14:04 -------- d-----w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\Reallusion 2009-05-21 14:04 . 2009-05-21 14:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield 2009-05-21 14:04 . 2006-08-08 22:59 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-05-21 11:53 . 2007-12-29 19:28 -------- d-----w- c:\programme\Messenger Plus! Live 2009-05-18 08:04 . 2009-05-18 08:04 312 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_E8248885C99617E4FB1749EE604B79AD.dll 2009-05-18 08:04 . 2009-05-18 08:04 548 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_4F14A0541154C5D44821B64ADD886FF5.dll 2009-05-17 18:35 . 2009-05-17 18:35 2287616 ----a-w- c:\windows\system32\TUKernel.exe 2009-05-17 09:35 . 2009-05-17 09:08 -------- d-----w- c:\programme\TuneUp Utilities 2008 2009-05-17 09:08 . 2009-05-17 08:59 306432 ----a-w- c:\windows\system32\TuneUpDefragService.exe 2009-05-17 09:07 . 2008-01-02 21:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-05-17 09:02 . 2009-05-17 09:02 -------- d-----w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\TuneUp Software 2009-05-17 08:59 . 2009-05-17 08:59 604416 ----a-w- c:\windows\system32\TUProgSt.exe 2009-05-17 08:58 . 2009-05-17 08:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2009-05-17 08:58 . 2009-01-29 08:58 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-05-17 08:52 . 2007-09-14 13:30 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-05-17 06:15 . 2006-08-08 22:58 -------- d-----w- c:\programme\Gemeinsame Dateien\LightScribe 2009-05-17 06:14 . 2009-05-16 12:46 -------- d-----w- c:\programme\Security Task Manager 2009-05-16 08:51 . 2007-11-05 19:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-05-16 08:50 . 2009-04-23 15:38 -------- d-----w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\Sony 2009-05-16 08:46 . 2006-12-31 12:10 -------- d-----w- c:\programme\QuickTime 2009-05-16 08:46 . 2006-08-16 03:45 -------- d-----w- c:\programme\Project64 1.6 2009-05-16 08:45 . 2009-02-08 16:10 -------- d-----w- c:\programme\NCH Software 2009-05-16 08:37 . 2008-04-08 18:06 -------- d-----w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\HLSW 2009-05-08 16:30 . 2009-07-05 19:57 176128 ----a-w- c:\windows\system32\mwnsp.dll 2009-05-08 16:04 . 2009-07-05 19:57 118784 ----a-w- c:\windows\killproc.exe 2009-05-07 15:32 . 2004-08-04 04:00 348160 ----a-w- c:\windows\system32\localspl.dll 2009-05-06 11:16 . 2009-07-05 19:57 1105920 ----a-w- c:\windows\system32\contfilt.dll 2009-04-29 04:42 . 2006-03-04 04:00 827392 ----a-w- c:\windows\system32\wininet.dll 2009-04-29 04:41 . 2009-02-28 17:24 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-04-19 19:46 . 2005-10-06 03:08 1847296 ----a-w- c:\windows\system32\win32k.sys 2009-04-15 17:50 . 2009-07-05 19:57 598016 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\avpmapp.exe 2009-04-15 14:51 . 2004-08-04 04:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll 2009-04-14 01:11 . 2009-07-05 19:57 323584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\scan.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "lxctmon.exe"="c:\programme\Lexmark 5400 Series\lxctmon.exe" [2006-11-22 291760] "eScan Updater"="c:\progra~1\eScan\TRAYICOS.EXE" [2009-05-20 2821120] "MailScan Dispatcher"="c:\progra~1\eScan\LAUNCH.EXE" [2009-05-08 770048] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-06 148888] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-01-16 176128] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSetActiveDesktop"= 1 (0x1) "NoActiveDesktopChanges"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\eSLogOn] 2009-04-01 10:29 632320 ----a-w- c:\windows\system32\eslogon.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "InfoCockpit"=c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash "MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background "cagqqgu"="c:\dokumente und einstellungen\ko. songoku 33\lokale einstellungen\anwendungsdaten\cagqqgu.exe" cagqqgu "RegistryMechanic"=c:\programme\Registry Mechanic\RegMech.exe /H "ICQ"="c:\programme\ICQ6.5\ICQ.exe" silent "ctfmon.exe"=c:\windows\system32\ctfmon.exe "WAB"=c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e0de003a19.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 "MSPY2002"=c:\windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC "ntiMUI"=c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe "eRecoveryService"=c:\acer\Empowering Technology\eRecovery\eRAgent.exe "RTHDCPL"=RTHDCPL.EXE "FolderView"=rundll32.exe "c:\windows\system32\eassuvir.dll",sitypnow "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" "EzPrint"="c:\programme\Lexmark 5400 Series\ezprint.exe" "LXCTCATS"=rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16 "Lexmark 5400 Series Fax Server"="c:\programme\Lexmark 5400 Series\fm3032.exe" /s "SBAMTray"=c:\programme\Sunbelt Software\VIPRE\SBAMTray.exe "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-] "p2p networking"=p2pnetworking.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\T-Online\\T-Online_Software_6\\Internet-Telefon\\Phone.exe"= "c:\\StubInstaller.exe"= "c:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\patchget.dat"= "c:\\WINDOWS\\system32\\dpnsvr.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\WINDOWS\\system32\\lxctcoms.exe"= "c:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"= "c:\\PROGRA~1\\eScan\\TRAYICOS.EXE"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\PROGRA~1\\eScan\\LICENSE.EXE"= R2 EconService;eConServ;c:\progra~1\escan\EconSer.exe [05.07.2009 21:57 364032] R2 eScan-trayicos;eScan Server-Updater;c:\progra~1\eScan\TRAYSSER.EXE [05.07.2009 21:57 90112] R2 eScan Monitor Service;eScan Monitor Service;c:\dokume~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe [05.07.2009 21:57 598016] R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [17.05.2009 10:59 604416] R3 econceal;MicroWorld Technologies Network Service;c:\windows\system32\drivers\econceal.sys [05.07.2009 22:08 26632] R3 phaudlwr;Philips Audio Filter;c:\windows\system32\drivers\phaudlwr.sys [29.01.2009 15:35 88704] R3 ProcObsrves;ProcObsrves;c:\progra~1\eScan\ProcObsrves.sys [05.07.2009 21:57 11264] R3 SPC530;Philips SPC530NC PC Camera;c:\windows\system32\drivers\SPC530.sys [29.01.2009 15:35 486912] R3 SPC530m;Philips SPC530NC PC Cameram;c:\windows\system32\drivers\SPC530m.sys [29.01.2009 15:35 7680] S3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);c:\windows\system32\drivers\Ch2kPS2.sys [26.10.2005 14:48 134446] S3 Ch2kUSB;Cherry USB Treiber für CDI;c:\windows\system32\drivers\Ch2kUSB.sys [29.06.2006 18:18 167566] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [13.07.2007 12:33 264704] S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [28.02.2007 15:27 17152] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [28.02.2007 15:26 17536] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] tapisrv REG_MULTI_SZ Tapisrv . Inhalt des "geplante Tasks" Ordners . . |
auch noch von Combifix: ------- Zusätzlicher Suchlauf ------- . uStart Page = uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 mStart Page = LSP: %SystemRoot%\system32\mwtsp.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-07-07 09:34 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1456) c:\windows\system32\Ati2evxx.dll c:\windows\system32\eSLogOn.dll . Zeit der Fertigstellung: 2009-07-07 9:36 ComboFix-quarantined-files.txt 2009-07-07 07:36 Vor Suchlauf: 18 Verzeichnis(se), 91.589.943.296 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 91.466.678.272 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Home Edition" /Execute /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /Execute /fastdetect /TUTag=TV0L11 /Kernel=TUKernel.exe multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /Execute /fastdetect /TUTag=TV0L11-BAK 457 --- E O F --- 2009-07-07 07:22 |
Blacklight sagt, 07/07/09 09:42:49 [Info]: BlackLight Engine 2.2.1092 initialized 07/07/09 09:42:49 [Info]: OS: 5.1 build 2600 (Service Pack 3) 07/07/09 09:42:49 [Note]: 7019 4 07/07/09 09:42:49 [Note]: 7005 0 07/07/09 09:42:51 [Note]: 7006 0 07/07/09 09:42:51 [Note]: 7011 22424 07/07/09 09:42:51 [Note]: 7035 0 07/07/09 09:42:51 [Note]: 7026 0 07/07/09 09:42:51 [Note]: 7026 0 07/07/09 09:42:53 [Note]: FSRAW library version 1.7.1024 07/07/09 09:49:27 [Note]: 2000 1012 07/07/09 09:49:27 [Note]: 2000 1012 07/07/09 09:49:27 [Note]: 2000 1012 07/07/09 09:51:04 [Note]: 7007 0 |
>> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Lass folgende Dateien bei www.virustotal.com/de prüfen: c:\windows\system32\runouce.exe c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\Macromedia\Common\e0de003a19.exe c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_7040580900063 D11C8EF10054038389C.dll c:\windows\killproc.exe Dann: 1. Scanne mit Superantispyware und poste das Log. 2. Mach einen Onlinescan mit Kaspersky und berichte. 3. Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate 4. Erstelle ein neues HJT Log. 5. Was ist mit dem Antivirenprogi, welches nutz DU? Gruss Swiss |
GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-07-07 23:17:24 Windows 5.1.2600 Service Pack 3 ---- User code sections - GMER 1.0.15 ---- .text c:\progra~1\escan\eConceal.exe[240] advapi32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01B32B80 .text c:\progra~1\escan\eConceal.exe[240] advapi32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01B32B3D .text c:\progra~1\escan\eConceal.exe[240] advapi32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01B32B01 .text c:\progra~1\escan\eConceal.exe[240] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01B32AE6 .text c:\progra~1\escan\eConceal.exe[240] ws2_32.dll!send 71A14C27 5 Bytes JMP 01B32972 .text c:\progra~1\escan\eConceal.exe[240] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01B32A64 .text c:\progra~1\escan\eConceal.exe[240] ws2_32.dll!recv 71A1676F 5 Bytes JMP 01B329AA .text c:\progra~1\escan\eConceal.exe[240] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 01B329E2 .text C:\Programme\Java\jre6\bin\jqs.exe[268] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 020F2AE6 .text C:\Programme\Java\jre6\bin\jqs.exe[268] WS2_32.dll!send 71A14C27 5 Bytes JMP 020F2972 .text C:\Programme\Java\jre6\bin\jqs.exe[268] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 020F2A64 .text C:\Programme\Java\jre6\bin\jqs.exe[268] WS2_32.dll!recv 71A1676F 5 Bytes JMP 020F29AA .text C:\Programme\Java\jre6\bin\jqs.exe[268] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 020F29E2 .text C:\Programme\Java\jre6\bin\jqs.exe[268] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 020F2B80 .text C:\Programme\Java\jre6\bin\jqs.exe[268] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 020F2B3D .text C:\Programme\Java\jre6\bin\jqs.exe[268] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 020F2B01 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 00F52B80 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 00F52B3D .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 00F52B01 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00F52AE6 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] WS2_32.dll!send 71A14C27 5 Bytes JMP 00F52972 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00F52A64 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00F529AA .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00F529E2 .text C:\WINDOWS\system32\Ati2evxx.exe[476] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01492B80 .text C:\WINDOWS\system32\Ati2evxx.exe[476] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01492B3D .text C:\WINDOWS\system32\Ati2evxx.exe[476] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01492B01 .text C:\WINDOWS\system32\Ati2evxx.exe[476] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01492AE6 .text C:\WINDOWS\system32\Ati2evxx.exe[476] WS2_32.dll!send 71A14C27 5 Bytes JMP 01492972 .text C:\WINDOWS\system32\Ati2evxx.exe[476] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01492A64 .text C:\WINDOWS\system32\Ati2evxx.exe[476] WS2_32.dll!recv 71A1676F 5 Bytes JMP 014929AA .text C:\WINDOWS\system32\Ati2evxx.exe[476] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 014929E2 .text C:\WINDOWS\system32\lxctcoms.exe[680] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 012F2B80 .text C:\WINDOWS\system32\lxctcoms.exe[680] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 012F2B3D .text C:\WINDOWS\system32\lxctcoms.exe[680] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 012F2B01 .text C:\WINDOWS\system32\lxctcoms.exe[680] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 012F2AE6 .text C:\WINDOWS\system32\lxctcoms.exe[680] ws2_32.dll!send 71A14C27 5 Bytes JMP 012F2972 .text C:\WINDOWS\system32\lxctcoms.exe[680] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 012F2A64 .text C:\WINDOWS\system32\lxctcoms.exe[680] ws2_32.dll!recv 71A1676F 5 Bytes JMP 012F29AA .text C:\WINDOWS\system32\lxctcoms.exe[680] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 012F29E2 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] advapi32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 02412B80 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] advapi32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 02412B3D .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] advapi32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 02412B01 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 02412AE6 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] WS2_32.dll!send 71A14C27 5 Bytes JMP 02412972 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 02412A64 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] WS2_32.dll!recv 71A1676F 5 Bytes JMP 024129AA .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 024129E2 .text C:\WINDOWS\Explorer.EXE[1092] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01AC2B80 .text C:\WINDOWS\Explorer.EXE[1092] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01AC2B3D .text C:\WINDOWS\Explorer.EXE[1092] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01AC2B01 .text C:\WINDOWS\Explorer.EXE[1092] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01AC2AE6 .text C:\WINDOWS\Explorer.EXE[1092] WS2_32.dll!send 71A14C27 5 Bytes JMP 01AC2972 .text C:\WINDOWS\Explorer.EXE[1092] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01AC2A64 .text C:\WINDOWS\Explorer.EXE[1092] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01AC29AA .text C:\WINDOWS\Explorer.EXE[1092] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01AC29E2 .text C:\PROGRA~1\eScan\consctl.exe[1180] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01152B80 .text C:\PROGRA~1\eScan\consctl.exe[1180] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01152B3D .text C:\PROGRA~1\eScan\consctl.exe[1180] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01152B01 .text C:\PROGRA~1\eScan\consctl.exe[1180] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01152AE6 .text C:\PROGRA~1\eScan\consctl.exe[1180] WS2_32.dll!send 71A14C27 5 Bytes JMP 01152972 .text C:\PROGRA~1\eScan\consctl.exe[1180] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01152A64 .text C:\PROGRA~1\eScan\consctl.exe[1180] WS2_32.dll!recv 71A1676F 5 Bytes JMP 011529AA .text C:\PROGRA~1\eScan\consctl.exe[1180] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 011529E2 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] advapi32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 014D2B80 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] advapi32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 014D2B3D .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] advapi32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 014D2B01 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 014D2AE6 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] WS2_32.dll!send 71A14C27 5 Bytes JMP 014D2972 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 014D2A64 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] WS2_32.dll!recv 71A1676F 5 Bytes JMP 014D29AA .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 014D29E2 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 00C82B80 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 00C82B3D .text C:\Programme\Java\jre6\bin\jusched.exe[1992] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 00C82B01 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00C82AE6 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] WS2_32.dll!send 71A14C27 5 Bytes JMP 00C82972 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00C82A64 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00C829AA .text C:\Programme\Java\jre6\bin\jusched.exe[1992] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00C829E2 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 03222B80 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 03222B3D .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 03222B01 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 03222AE6 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] WS2_32.dll!send 71A14C27 5 Bytes JMP 03222972 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 03222A64 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] WS2_32.dll!recv 71A1676F 5 Bytes JMP 032229AA .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 032229E2 .text C:\WINDOWS\System32\TUProgSt.exe[2364] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 00E22B80 .text C:\WINDOWS\System32\TUProgSt.exe[2364] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 00E22B3D .text C:\WINDOWS\System32\TUProgSt.exe[2364] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 00E22B01 .text C:\WINDOWS\System32\TUProgSt.exe[2364] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00E22AE6 .text C:\WINDOWS\System32\TUProgSt.exe[2364] WS2_32.dll!send 71A14C27 5 Bytes JMP 00E22972 .text C:\WINDOWS\System32\TUProgSt.exe[2364] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00E22A64 .text C:\WINDOWS\System32\TUProgSt.exe[2364] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00E229AA .text C:\WINDOWS\System32\TUProgSt.exe[2364] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00E229E2 .text C:\WINDOWS\system32\wdfmgr.exe[2416] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 008F2B80 .text C:\WINDOWS\system32\wdfmgr.exe[2416] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 008F2B3D .text C:\WINDOWS\system32\wdfmgr.exe[2416] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 008F2B01 .text C:\WINDOWS\system32\wdfmgr.exe[2416] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 008F2AE6 .text C:\WINDOWS\system32\wdfmgr.exe[2416] WS2_32.dll!send 71A14C27 5 Bytes JMP 008F2972 .text C:\WINDOWS\system32\wdfmgr.exe[2416] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 008F2A64 .text C:\WINDOWS\system32\wdfmgr.exe[2416] WS2_32.dll!recv 71A1676F 5 Bytes JMP 008F29AA .text C:\WINDOWS\system32\wdfmgr.exe[2416] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 008F29E2 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!LoadResource 7C80A055 7 Bytes JMP 28001E20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!FindResourceExW 7C80AD28 7 Bytes JMP 28001C60 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!FindResourceW 7C80BC6E 7 Bytes JMP 28001BE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!SizeofResource 7C80BD09 7 Bytes JMP 28001EE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!FindResourceA 7C80BF29 7 Bytes JMP 28001CF0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!LockResource 7C80CD37 5 Bytes JMP 28001F50 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!CreateEventA 7C8308B5 5 Bytes JMP 28001840 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!FindResourceExA 7C835FA8 7 Bytes JMP 28001D80 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01162B80 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ADVAPI32.dll!CryptDeriveKey 77DB9FFD 7 Bytes JMP 28001000 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01162B3D .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01162B01 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!GetWindowLongW 7E3688A6 7 Bytes JMP 28006A20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!PeekMessageW 7E36929B 5 Bytes JMP 280045E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!SetWindowPlacement 7E36DE46 5 Bytes JMP 28005DC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!CreateDialogParamW 7E36EA3B 5 Bytes JMP 28006040 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!LoadImageW 7E377B97 5 Bytes JMP 28006690 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] |
USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 28003CA0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!SetWindowRgn 7E37E528 7 Bytes JMP 28005F00 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!LoadIconW 7E37E8BC 5 Bytes JMP 28006880 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 28006230 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!TrackPopupMenuEx 7E3BCF62 5 Bytes JMP 28004EC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01162AE6 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WS2_32.dll!send 71A14C27 5 Bytes JMP 01162972 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01162A64 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WS2_32.dll!recv 71A1676F 5 Bytes JMP 011629AA .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 011629E2 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] SHELL32.dll!Shell_NotifyIconW 7E6DA5BF 5 Bytes JMP 28003400 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ole32.dll!CoInitializeEx 774CEF7B 5 Bytes JMP 28002260 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 28002600 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ole32.dll!CoRegisterClassObject 774E7E90 5 Bytes JMP 28002360 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WININET.dll!InternetCloseHandle 441EDA71 5 Bytes JMP 2800A600 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WININET.dll!HttpOpenRequestA 441F4339 5 Bytes JMP 2800A2C0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WININET.dll!InternetReadFile 441FABCC 5 Bytes JMP 2800A450 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WININET.dll!HttpSendRequestA 441FCD50 5 Bytes JMP 2800A530 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 06A72B80 .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 06A72B3D .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 06A72B01 .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 06A72AE6 .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] WS2_32.dll!send 71A14C27 5 Bytes JMP 06A72972 .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 06A72A64 .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] WS2_32.dll!recv 71A1676F 5 Bytes JMP 06A729AA .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 06A729E2 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 012F2B80 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 012F2B3D .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 012F2B01 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 012F2AE6 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] WS2_32.dll!send 71A14C27 5 Bytes JMP 012F2972 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 012F2A64 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] WS2_32.dll!recv 71A1676F 5 Bytes JMP 012F29AA .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 012F29E2 .text C:\WINDOWS\System32\alg.exe[4092] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 00B92B80 .text C:\WINDOWS\System32\alg.exe[4092] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 00B92B3D .text C:\WINDOWS\System32\alg.exe[4092] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 00B92B01 .text C:\WINDOWS\System32\alg.exe[4092] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00B92AE6 .text C:\WINDOWS\System32\alg.exe[4092] WS2_32.dll!send 71A14C27 5 Bytes JMP 00B92972 .text C:\WINDOWS\System32\alg.exe[4092] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00B92A64 .text C:\WINDOWS\System32\alg.exe[4092] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00B929AA .text C:\WINDOWS\System32\alg.exe[4092] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00B929E2 ---- Devices - GMER 1.0.15 ---- AttachedDevice fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \Driver\ACPI \Device\00000052 863D91C0 Device \Driver\ACPI \Device\00000053 863D91C0 Device \Driver\ACPI \Device\00000046 863D91C0 Device \Driver\ACPI \Device\00000060 863D91C0 Device \Driver\ACPI \Device\00000054 863D91C0 Device \Driver\ACPI \Device\00000047 863D91C0 Device \Driver\ACPI \Device\00000055 863D91C0 Device \Driver\ACPI \Device\00000048 863D91C0 Device \Driver\ACPI \Device\00000062 863D91C0 Device \Driver\ACPI \Device\00000056 863D91C0 Device \Driver\ACPI \Device\00000063 863D91C0 Device \Driver\ACPI \Device\00000057 863D91C0 Device \Driver\ACPI \Device\00000066 863D91C0 Device \Driver\ACPI \Device\00000067 863D91C0 Device \Driver\ACPI \Device\00000069 863D91C0 Device \Driver\ACPI \Device\0000004e 863D91C0 Device \Driver\ACPI \Device\0000005c 863D91C0 Device \Driver\ACPI \Device\0000004f 863D91C0 Device \Driver\ACPI \Device\0000006a 863D91C0 Device \Driver\ACPI \Device\0000006b 863D91C0 Device \Driver\ACPI \Device\0000005f 863D91C0 Device \Driver\ACPI \Device\0000006c 863D91C0 Device \Driver\ACPI \Device\0000006e 863D91C0 Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation) Device \Driver\ACPI \Device\0000006f 863D91C0 Device ECAC9D20 ---- System - GMER 1.0.15 ---- SSDT \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.) ZwCreateSection [0xED3AAE50] SSDT \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.) ZwTerminateProcess [0xED3AB120] ---- Threads - GMER 1.0.15 ---- Thread System [4:2336] 8640F1A0 Thread System [4:1892] 863F9F9F Thread System [4:2680] 8642D517 Thread System [4:3308] 863FCC11 ---- EOF - GMER 1.0.15 ---- GMER |
Hatte Vipre Vollversiuon drauf, jetzt eScan voillversion, morgen furhe gleich das was du geschreiben hast dazu, als alternativ. Kann aber auch beide wieder löschen, wenn du mir eins sagstm, welches wohl besser ist, .. ;) Danke fuer deine Hilfe, Phil. |
>> Lass folgende Dateien bei VirusTotal - Kostenloser online Viren- und Malwarescanner prüfen: 1. c:\windows\system32\runouce.exe 2. c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\Macromedia\Common\e0de003a19.ex e 3. c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_7040580900063 D11C8EF10054038389C.dll 4. c:\windows\killproc.exe 1. 0 bytes size received / Se ha recibido un archivo vacio 2. weitere Informationen File size: 3072 bytes MD5...: 8ad9aea9b765730368e6ac35a488270f SHA1..: c60468e631d803e047a7b64270cb1fc2066e6911 SHA256: a875aebf20442d3d52de61911e33a7673e59fd0d6507d8e479a4acb2dae7d023 ssdeep: 24:etGSwXoPD0U3Yt2icxshdUr+yknddXq8oqpVAaRBv:68qQb5cxK2ronPXRogB PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10bc timedatestamp.....: 0x4a255096 (Tue Jun 02 16:17:26 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x33f 0x400 5.55 a8e2c9ce04df746c137fdb209241ce11 .rdata 0x2000 0x54 0x200 0.63 16b4ff9036790e407462d181731d53a4 .data 0x3000 0x94 0x200 1.89 496bf081e93fcf5b7d35ea4d3e768351 ( 1 imports ) > KERNEL32.dll: ExitProcess ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=75270B0700BCFFB00CFD002F5461A500B79BCD14' target='_blank'>ht**tp://info.prevx.com/aboutprogramtext.asp?PX5=75270B0700BCFFB00CFD002F5461A500B79BCD14</a> und gesammt irgendwie 2/41 3. File size: 256 bytes MD5...: 4343b50745983d26e4a1643c34ca2ab4 SHA1..: 5c322d1c85c395ab65efb2d58c5447d34b76558d SHA256: d1b206bf913b6531a6633fc5e6888d4a90257ed9b19d569d12b6ade34d9068de ssdeep: 6:NlmuXF2lBJJcyBLeOrf2MnmvJNdLzlTOlvaYs6WAU:3musBJJXBaOrf2umvJ3f hOkYZWAU PEiD..: - TrID..: File type identification Unknown! PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set - und gesammt 0/41 4. weitere Informationen File size: 118784 bytes MD5...: 195ad0a4cc7ed2b574c11071b5fe9911 SHA1..: 86dec6a35887b8213a3760fa83224edf280188e8 SHA256: 5783ff699165129f90d8703992cb2694f2987eb75965307e18e7cb4d7ebbba5e ssdeep: 1536:CzLf7BpJldYv4WBP5Tp+Hl2jG2pcyfo9lPLzaFxxoFz/tL:m73YEF2xWt36 xxoFZ PEiD..: Armadillo v1.71 TrID..: File type identification - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x64a2 timedatestamp.....: 0x4a0426d9 (Fri May 08 12:34:33 2009) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xe0b0 0xf000 6.45 a40484c57245fede6a3f9edfdb443b7c .rdata 0x10000 0x3018 0x4000 3.96 e1137fb7c4b31c7d95b16ccbb11ab271 .data 0x14000 0xe5b4 0x8000 3.35 c765d3168396b5c1e72c568318072536 .rsrc 0x23000 0x6d8 0x1000 2.30 008c9083c76867bb351865ab530262a3 ( 4 imports ) > KERNEL32.dll: GetCurrentThread, GetCurrentThreadId, WideCharToMultiByte, SetCurrentDirectoryA, FlushFileBuffers, OpenProcess, lstrcmpA, SetEndOfFile, GetModuleFileNameA, GetShortPathNameA, Sleep, LocalAlloc, LocalFree, LoadLibraryA, FreeLibrary, GetSystemDirectoryA, lstrcatA, lstrcpyA, GetVersion, CreateDirectoryA, GetTickCount, FindFirstFileA, FindClose, GetFileAttributesA, GetFullPathNameA, SetLastError, AreFileApisANSI, GetStringTypeW, MultiByteToWideChar, lstrlenA, lstrcpynA, GetDiskFreeSpaceA, GetModuleHandleA, GetProcAddress, GetLastError, WriteFile, CreateFileA, CloseHandle, ReadFile, SetFilePointer, CreateMutexA, GetEnvironmentVariableA, FormatMessageA, GetProcessHeap, HeapAlloc, HeapFree, GetDateFormatA, GetTimeFormatA, DeviceIoControl, GetCurrentProcess, GetVersionExA, TerminateProcess, GetStringTypeA, SetUnhandledExceptionFilter, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, SetStdHandle, GetFileType, GetStdHandle, SetHandleCount, UnhandledExceptionFilter, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetOEMCP, GetACP, GetCPInfo, TlsGetValue, TlsAlloc, LCMapStringW, LCMapStringA, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, RaiseException, ExitProcess, GetCommandLineA, GetStartupInfoA, HeapSize, HeapReAlloc, TlsSetValue, RtlUnwind, InterlockedIncrement, InterlockedDecrement, IsBadCodePtr > USER32.dll: SendMessageA, FindWindowExA, GetSystemMetrics, GetWindowTextA, GetWindowThreadProcessId, EnumWindows, RedrawWindow, SetCursorPos, GetCursorPos, GetWindowRect, CreateCursor, DestroyCursor, SetSystemCursor, CopyImage, PostThreadMessageA, LoadCursorA > ADVAPI32.dll: RegOpenKeyExA, RegCloseKey, RegQueryValueExA, GetUserNameA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegOpenKeyA, GetSidSubAuthority, GetSidSubAuthorityCount, GetTokenInformation, GetSecurityDescriptorSacl, SetSecurityDescriptorSacl, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, OpenThreadToken > SHELL32.dll: SHGetDesktopFolder, SHGetMalloc, SHGetPathFromIDListA ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - auch 0/40 |
Bitte reich noch die restlichen Logs nach :) gruss Swiss |
SUPERAntiSpyware Scan Log SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware! Generated 07/08/2009 at 11:01 AM Application Version : 4.26.1006 Core Rules Database Version : 3978 Trace Rules Database Version: 1918 Scan type : Complete Scan Total Scan Time : 01:01:38 Memory items scanned : 457 Memory threats detected : 0 Registry items scanned : 5054 Registry threats detected : 0 File items scanned : 77937 File threats detected : 9 Adware.Tracking Cookie C:\Dokumente und Einstellungen\ko. Songoku 33\Cookies\ko._songoku_33@atdmt[2].txt C:\Dokumente und Einstellungen\ko. Songoku 33\Cookies\ko._songoku_33@doubleclick[1].txt Trojan.Agent/Gen-Proto C:\WINDOWS\AJOQIJOYIQOPACA.DLL.MWT C:\WINDOWS\ECUSOYAQOXISI.DLL.MWT C:\WINDOWS\EWATECOF.DLL.MWT C:\WINDOWS\INOGABOR.DLL.MWT C:\WINDOWS\UJEKONIPUCOV.DLL.MWT Rogue.FakeAlert/Wallpaper C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\3N8ARZV3\WARNING[1].GIF Trojan.Unknown Origin C:\WINDOWS\SYSTEM32\WNSCPCC32.EXE |
rest dauert noch etwas, weil alles bisschen lamet .. x: kann nicht neu booten, weil meine Install CD kaputt ist, -.- und ich muesste noch 4 andere Betriebssysteme deinstallieren. wenn du mir da iorgendwie weiterhelfen kannst, poste auch bitte. Also, habe 5 Betriebssysteme, kann mich in 4 davon einloggen (eins is unregestriert) und würde gerne alle löschen. Bis auf das Aktuelle + Sicherung? -> weist du wie das geht? Würde auch gerne neu installieren, hab ja noch die 2 unbenutzte Produktschluessel von Windows XP Home nur keine CD mehr <.< (eine gabs nie weil vorinstalliert, die andere is geschrottet) Die restlichen Log's dauern noch, dass scannt so ewig lange. Philipp |
Kaspersky: Scan ---- Scanned: 204260 Detected: 51 Untreated: 0 Start time: 08.07.2009 19:09:28 Duration: 01:13:16 Finish time: 08.07.2009 20:22:44 Statistics ---------- Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted ------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ --------- All objects 204260 51 0 51 0 7999 2927 25 0 System memory 3438 0 0 0 0 0 16 0 0 Startup objects 802 0 0 0 0 1 171 0 0 Disk boot sectors 3 0 0 0 0 0 0 0 0 ACER (C:) 200017 51 51 0 0 7998 2740 25 0 am ende aLLES DELETET. gut. |
datFind: Verzeichnis von c:\ 08.07.2009 20:37 0 dirdat.txt 08.07.2009 19:08 1.073.074.176 hiberfil.sys 08.07.2009 19:08 1.610.612.736 pagefile.sys 08.07.2009 17:26 546 boot.ini 07.07.2009 16:40 50 23990098.$$$ 07.07.2009 09:36 26.584 ComboFix.txt 05.07.2009 21:57 476 Boot.bak 17.05.2009 20:35 500 bootini.ins 08.07.2009 19:09 1.158 wpa.dbl 06.07.2009 10:18 148.888 javaws.exe 06.07.2009 10:18 144.792 javaw.exe 06.07.2009 10:18 73.728 javacpl.cpl 06.07.2009 10:18 144.792 java.exe 06.07.2009 10:18 410.984 deploytk.dll 05.07.2009 21:58 626.688 msvcr80.dll 05.07.2009 21:58 548.864 msvcp80.dll 05.07.2009 21:58 522 Microsoft.VC80.CRT.manifest 05.07.2009 21:58 28.672 eEmpty.exe 05.07.2009 21:45 16.832 amcompat.tlb 05.07.2009 21:45 23.392 nscompat.tlb 12.06.2009 08:29 221.632 FNTCACHE.DAT 09.06.2009 17:32 71.980 perfc009.dat 09.06.2009 17:32 442.966 perfh009.dat 09.06.2009 17:32 460.782 perfh007.dat 09.06.2009 17:32 85.558 perfc007.dat 09.06.2009 17:32 1.076.190 PerfStringBackup.INI 05.06.2009 13:40 348.160 msvcr71.dll 05.06.2009 13:40 499.712 msvcp71.dll 01.06.2009 18:51 23.635.392 MRT.exe 17.05.2009 20:35 2.287.616 TUKernel.exe 17.05.2009 11:08 306.432 TuneUpDefragService.exe 17.05.2009 10:59 604.416 TUProgSt.exe 16.05.2009 10:33 46.874 DrvInstXLog.txt 08.05.2009 18:34 524.288 mwtsp.dll 08.05.2009 18:30 176.128 mwnsp.dll 07.05.2009 17:32 348.160 localspl.dll 07.05.2009 09:12 20.463 LexFiles.ulf 06.05.2009 13:16 1.105.920 contfilt.dll Verzeichnis von C:\DOKUME~1\KO0CB5~1.SON\LOKALE~1\Temp 08.07.2009 19:13 4.300 jusched.log 08.07.2009 19:03 1.507.065 flaB2.tmp 08.07.2009 16:58 0 PR55.tmp 08.07.2009 16:58 24.117.248 PR54.tmp 08.07.2009 16:58 16.252.928 PR53.tmp 08.07.2009 16:28 20.447.232 PR10A.tmp 07.07.2009 16:40 319.690 07070000.LOG 07.07.2009 16:40 192 MWAVDB.LOG 07.07.2009 16:39 6.375 MWAVC.LOG 07.07.2009 10:45 829.892 LastScan.jpg 07.07.2009 10:33 7.820.876 TempImage1.tif 07.07.2009 10:32 41.068 TempImage0.tif 23.06.2009 11:01 158.960 SSUPDATE.EXE 13 Datei(en) 71.505.826 Bytes 0 Verzeichnis(se), 91.743.461.376 Bytes frei |
Logfile von HJT oben. |
So, und neue HJT Log. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:41:32, on 08.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\eScan\TRAYICOS.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\ESCAN\SPOOLER.EXE c:\progra~1\escan\EconSer.exe c:\progra~1\escan\eConceal.exe C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\lxctcoms.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\PROGRA~1\eScan\consctl.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\PROGRA~1\eScan\Vista\eScanMon.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Opera\opera.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_U**RL = [ur**l=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url**] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_UR**L = [ur**l=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/u**rl] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [u**rl=htt**p://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [lxctmon.exe] "C:\Programme\Lexmark 5400 Series\lxctmon.exe" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user') O4 - Startup: is-SLDAS.lnk = C:\Dokumente und Einstellungen\ko. Songoku 33\Desktop\Virus Removal Tool\is-SLDAS\startup.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [**url]htt**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/u**rl] O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: eSLogOn - C:\WINDOWS\SYSTEM32\eSLogOn.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: eConServ (EconService) - MicroWorld Technologies Inc. - c:\progra~1\escan\EconSer.exe O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 5220 bytes[/QUOTE] |
So, Computer laeuft nun eigtl. fast wieder wie vorher, er ist auch nichtmehr laut, ABER ER HAENGT SICH AB UND ZU KOMPLETT AUF! dann geht garnichts mehr auser Neustart, und das nichtmal mehr per Menue, sondern per Power-Knopf. |
Schau mal unter: Start -> Ausführen -> eventvwr.msc Ob dort zum Zeitpunkt des Absturzes Fehlermeldungen auftauchen. Gruss Swiss |
wie genau schau ich das nach? habs fenser offen und weiter? wenn du bei ANWENDUNGEN einen Fehler meinst, (X) davor (rot), dann trifft das zu, ja ^^ |
Ja schau jeweils unter Anwendungs-, Sicherheits- und Systemereignisse ob dort zum Zeitpunkt der Abstürze Fehlermeldungen auftreten, wenn ja, wie heissen diese. Gruss Swiss |
Bei Anwendungen folgendes: Fehler: crypt 32 Application Error Warnung: Microsoft Fax Bei Sicherheit nichts. Bei Systemereignissen: Fehler: Service Control Manager |
So, eben ist er abgestuertzt. Hab den Pc um kurz vor 9 angemacht .. und um 9:26 ist er abgesürtzt. um 9:38 hab ich ihn wieder angemacht. Letzte Eintragung heute: 9:28 (neustart) Erste Eintragung heute: 8:55 (erste mal angemacht) zwischendrin steht GARNICHTS. |
Prüfe einmal dein System mit Chkdsk Oder evtl hilft Dir das weiter: http://support.microsoft.com/kb/317541/de Gruss Swiss |
Folgendes Problem besteht immernoch: * Computer haengt sich einfach so auf, ob ich nun dran arbeite oder nicht, er haengt sich komplett auf (mind. 1 mal pro Stunde, wenn er an ist), so dass ich garnichts mehr machen kann, auser "Aus-Knopf" drücken. Neustart über die Console funktioniert ebenfalls nicht, Taskmanager auch nicht, und Alt + F4 zum schließen auch nicht. Nichts. |
Hast Du einmal das Gehäuse vom PC entfernet und im abgeschaltetem Zustand mit dem Pinsel die Hardware von Staub entfernt und vorallem die Lüfter gereinigt? Evtl ist er überhitzt... Gruss Swiss |
Avira 9 sagt folgendes: Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.E [HINWEIS] Der Sektor wurde nicht neu geschrieben! Bootsektor 'D:\' [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.E [HINWEIS] Der Sektor wurde nicht neu geschrieben! |
Nein, dass wollte ich eigtl. noch machen, aber er ist ja nichtmehr laut, er haengt sich manchmal nurnoch auf. Vor 3 Std. etwa hat er sich aufgehaengt und ich hab bisschen runmgeklickt. Dann PIEEEEEEEEEEEEEEEEPT der so ewig laut .. abwe boxen waren aus, dass kam von innen ausm Pc raus? - was das? |
Download mbr.exe zum Desktop Doppelklick mbr.exe um das Tool zu starten Es wird ein Log erstellt und poste dessen Inhalt Gruss Swiss |
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, GMER - Rootkit Detector and Remover device: opened successfully user: MBR read successfully kernel: MBR read successfully detected MBR rootkit hooks: \Driver\ACPI -> 0x868201c0 NDIS: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> 0x86859e70 Warning: possible MBR rootkit infection ! copy of MBR has been found in sector 0x01D1C4581 malicious code @ sector 0x01D1C4584 ! PE file found in sector at 0x01D1C459A ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. So, auch alles sauber jetzt, war ziemlich eingestaubt, aber denke, daran lags nicht. |
Der Staub war es nicht, hatte eben in Opera Sevenload.*com auf, habe nen Video geladen (20 Minuten HD) aber nicht angeschaut, sprich es lief auch nicht (Paused) Dann hatte ich Mozilla auf mit 2 Tabs, 1 hier das Forum. 2. StudiVZ, bissche rumgeklickt. Aufgehaengt, nixmehr getan, aber kein Piepen. |
So, eben wieder Sevenload.*com .. Video geöffnet, HD angemacht, laden lassen, und alles haengt sich auf. konnte das Fenster zum glueck noch schließen und musste nicht alles neu starten. Firefox blieb im Taskmanager aber auf, mit rund 120k auslastung. und wenn ich die Anwendung bei eventvwr.msc kontrolliere steht dort, öfter, ich denke bei jedem absturz: (Dreieck mit Ausrufezeichen) Warnung, Datum / Uhrzeit, Microsoft Fax, Initalisierung / Beendigung, Ereigniss 32068 und 32026 (es sind immer zwei warnungen untereinander!!) und bei Benutzer steht: Nicht zutreffent! |
Dein Masterbootrecoreder ist infiziert Master-Boot-Record >> MBR: Verschiebe mbr.exe vom Desktop auf C:\ Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\ Gebe bei Dateityp 'Alle Dateien' an. mbr.exe -f Du solltest jetzt in C:\ diese Datei fix.bat finden. Doppelklick auf fix.bat Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt >> SDfix: - SDFix.zip entpacken - es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory typically C:\SDFix )" - unter C:\ findet man nun den SDFix-Ordner - boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) - gehe in den Ordner C:\SDFix - RunThis.bat doppelt klicken - schreibe: Y - folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint und poste ihn hier Gruss Swiss |
>> MBR: Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\ (wichtig auf C:/, nicht vom Desktop ausführen) Gebe bei Dateityp 'Alle Dateien' an. Codierung ANSI? |
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully detected MBR rootkit hooks: \Driver\ACPI -> 0x868381c0 NDIS: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> 0x86871e70 Warning: possible MBR rootkit infection ! user & kernel MBR OK copy of MBR has been found in sector 0x01D1C4581 malicious code @ sector 0x01D1C4584 ! PE file found in sector at 0x01D1C459A ! Use "Recovery Console" command "fixmbr" to clear infection ! Das is das NEUE! |
----------------------------- |
original MBR restored successfully ! Und das unter Log ist nochmals ein neues?? Gruss Swiss |
"The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory typically C:\SDFix )" kommt nicht, ich entpacke und fertig. da is der ordner |
>> Nun neu schreiben den MBR XP: XP CD einlegen -> Setup starten -> Wiederherstellungskonsole öffnen -> fixmbr eingeben. Zitat:
>> Danach führe mbr.exe nochmals aus und poste das Log. Gruss Swiss |
Nun neu schreiben den MBR XP: XP CD einlegen -> Setup starten -> Wiederherstellungskonsole öffnen -> fixmbr eingeben geht nicht, Computer ignoriert die Xp Cd, is in einwandfreiem zustand .. keine kratzer nichts, habe es mit 2 verschiendenen Probiert, der startet einfach ganz normal. |
SDfix: - SDFix.zip entpacken - es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory typically C:\SDFix )" - unter C:\ findet man nun den SDFix-Ordner - boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) - gehe in den Ordner C:\SDFix - RunThis.bat doppelt klicken - schreibe: Y - folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint und poste ihn hier hab ich noch garnicht gemacht, weil die meldung die du sagsteat beim entzippen nicht kam. ------------------------------------------------------------------------------------ mit xp CD starten geht auch nichtm, der ignoriert die, wenn ich sie so auf mache und zu setup gehe gibts da keinen "Reperieren" Punkt. |
Du musst vermutlich die Bootreihenfolge im BIOS einstellen, so dass zuerst von der der gebootet wird. Wenn du im Bios bist, sollte es so ungefähr aussehen: oder so: hxxp://drnope.dr.funpic.de/CD-Boot.htm Gruss Swiss |
okay, und wie soll ich davon was machen? O,o |
Las mal SDIFX Was machen meinst Du? Gruss Swiss |
aehm, wie soll ich das amchen, dass es direkt bei der cd auch mit der cd startet? First Boot RUNCD? oder wie? |
Schau in meinen Links. Gehe ins BIOS Menu und schau ob dort was steht von Boot Device. Dann anpassen und als erste Device das CD Laufwerk wählen. Gruss Swiss |
So, fixmbr durchgeführt. Bei 2/2 möglchen Dingern da. :) fixbat sagt dann folgendes. Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, GMER - Rootkit Detector and Remover device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x01D1C4581 malicious code @ sector 0x01D1C4584 ! PE file found in sector at 0x01D1C459A ! |
Er hängt sich nichtmehr auf :) Vielen Dank. * Ist er denn jetzt auch komplett sauber? * was würdest du mir fuer Virenprogramme empfehlen? * was kann ich alles deinstallieren / löschen, um "Neuansteckung" zu vermeiden? * Soll ich alles nochmal durchlaufen lassen? |
Also kleiner Erfolg, aber irgendwie ist der Rootkit noch nicht ganz weg.. Wiederhole folgendes: Zitat:
Scanne mit CureIT von Dr.Web und poste das Log. >> Bitte erstelle einmal ein frisches HiJackThis Log. Gruss Swiss |
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, GMER - Rootkit Detector and Remover device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x01D1C4581 malicious code @ sector 0x01D1C4584 ! PE file found in sector at 0x01D1C459A ! |
CureIT von Dr.Web lasse ich über die Nacht laufen, bzw. poste, wenn er fertig ist. Denke morgen früh, soll ich das genau so ausführen, wie in der anleitung beschreiben? :) |
Ja genau so wie in der Anleitung. Gruss swiss |
HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2HiJackThis Log, nachdem Dr.Web gelaufen ist. Info: alles, was DrWeb gefunden hat, und nicht gelöscht/verschoben wurde, habe ich gelöscht auch, mailscan.exe. (einzige warnung bei dieser Exe/dll) |
AAWLaMaS.A294.dll;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online\T-Online_Software_6\Basis-Software\update\backup\WLAN ADAPTER;Adware.Msearch;Verschoben.; awn2kOEk.exe\data025;C:\Dokumente und Einstellungen\ko. Songoku 33\Desktop\Stuff\awn2kOEk.exe;Wahrscheinlich BACKDOOR.Trojan;; awn2kOEk.exe\data047;C:\Dokumente und Einstellungen\ko. Songoku 33\Desktop\Stuff\awn2kOEk.exe;Wahrscheinlich BACKDOOR.Trojan;; awn2kOEk.exe\data050;C:\Dokumente und Einstellungen\ko. Songoku 33\Desktop\Stuff\awn2kOEk.exe;Wahrscheinlich BACKDOOR.Trojan;; awn2kOEk.exe;C:\Dokumente und Einstellungen\ko. Songoku 33\Desktop\Stuff;Archiv enthält infizierte Objekte;Verschoben.; instscan.exe;C:\Programme\eScan;Wahrscheinlich BACKDOOR.Trojan;; mailinst.exe;C:\Programme\eScan;Wahrscheinlich BACKDOOR.Trojan;; mailscan.exe;C:\Programme\eScan;Wahrscheinlich WIN.MAIL.WORM.Virus;; mailscan.ini;C:\Programme\eScan;Wahrscheinlich SCRIPT.Virus;; scanremv.exe;C:\Programme\eScan;Wahrscheinlich BACKDOOR.Trojan;; Process.exe;C:\RECYCLER\S-1-5-21-377346816-463564892-2344669290-1006\Dc14\apps;Tool.Prockill;; Process.exe;C:\RECYCLER\S-1-5-21-377346816-463564892-2344669290-1006\Dc18\apps;Tool.Prockill;; A0012581.exe;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP2;Tool.Prockill;; A0012659.exe;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP2;Tool.Prockill;; A0012842.dll;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4;Adware.Msearch;Verschoben.; A0012843.exe\data025;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4\A0012843.exe;Wahrscheinlich BACKDOOR.Trojan;; A0012843.exe\data047;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4\A0012843.exe;Wahrscheinlich BACKDOOR.Trojan;; A0012843.exe\data050;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4\A0012843.exe;Wahrscheinlich BACKDOOR.Trojan;; A0012843.exe;C:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4;Archiv enthält infizierte Objekte;Verschoben.; Kill1211.exe;C:\WINDOWS\system32;Tool.WiFiKill;Gelöscht.; AAWLaMaS.dll;D:\Programme\Gemeinsame Dateien\Marmiko Shared;Adware.Msearch;Verschoben.; A0012845.dll;D:\System Volume Information\_restore{2EA1948D-47E4-4128-83F7-3B90672A8F9B}\RP4;Adware.Msearch;Verschoben.; So, dass sagt Dr.Web im ABGESICHERTEN MODUS, unter meiner Login (Name Philipp), da war noch ein "Zusatz Konto" (vorinstalliert, "Administrator") haette ich mich vl, in dieses einloggen sollen, oder reicht mein Administrator Ding aus? Wusste vorher nicht von dem Administrator Konto im abgesicherten Modus, dementsprechend habe ich es nicht benutzt. Mfg Philipp |
>> Das reicht so. >> Diese mailscan.exe dürfte von Escan sein: Zitat:
>> Systemwiederherstellung deaktivieren (XP): Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann das Häkchen wieder rausnehmen. (also wieder aktivieren) >> Download OTM.exe zum Desktop Oeffne:OTM.exe (Vista benutzer, rechtsklick auf OTM.exe und waehle "Run as Administrator") OTM auf dem Desktop speichern OTM.exe klicken 1. klicken: CleanUp! button 2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!) 3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes so wird von OTM automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden >> Hast du nun noch probleme? Stürzt er nicht mehr ab? Gruss Swiss |
2 "kleine" Sachen noch. 1. Ich hätte gerne einen Systemwiederherstellungspunkt, den ich "laden kann" .. wenn etwas passiert, wie jetzt, dass ich das System irgendwie reeboten kann und es dann im Zustand von "jetzt" ist. Ich weis, das so irgenwas geht - wie? 2. wenn ich meinen Rechner starte habe ich folgende Auswahl: Windows XP Home Recovery Console Windows XP Home (1) Windows XP Home (2) Windows XP Home TuneUp Recovery Hätte ich aber gerne wie folgt: Windows XP Home Recovery Console (gelöscht) Windows XP Home (1) (gelöscht) Windows XP Home (2) Windows XP Home TuneUp Recovery (gelöscht) * Mein Rechner startet immer auf Windows Xp Home (1), was jedoch unregestriet ist, und nur zu testzwecken gedient hat, die beiden recovery's sind von den Progreammen erstellt worden, als ich irgendwas repariert habe, nun moechte ich die natuerlich weg haben, und wie mache ich das? (: 3. Danke, nein er stürtzt nicht mehr ab, lamet auch nicht, laeuft wie geschmiert. |
>> Mach ein Backup deines Systems. Da gibt es einige Programme dazu. z.B. Personal Backup >> Start --> Ausführen --> gib ein: msconfig --> auf den Reiter boot.ini und mach davon ein Screenshot oder poste dessen genauen Inhalt hier. gruss Swiss |
Screen kommt. |
http://img189.imageshack.us/i/bootinif.jpg/ So, per Anhang gings nicht, also upload :) Das mit dem Wiederherstellungspunkt mache ich, wenn das erstere erledigt ist. :) |
hmmm.. ich kann es nicht ansehen ... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board