Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Explorer.exe könnte nicht richtig initialisiert werden! (https://www.trojaner-board.de/84863-explorer-exe-koennte-richtig-initialisiert.html)

Bongbastick 13.04.2010 20:05
Explorer.exe könnte nicht richtig initialisiert werden!
 
Zuerst mal möchte ich um Entschuldig bitten, weil ich hier ein Thema eröffne, dass es sicher schon einmal gibt. Jedoch meckert mein Internetbrowser Opera jedesmal wenn ich die Suche anwenden möchte, dass keine Verbindung hergestellt werden kann.

"Explorer.exe könnte nicht richtig initialisiert werden!" Wird von meiner PC beinahe jedesmal nach dem starten angezeigt. Danach geht erstmal nichts mehr voran. Muss den PC dann neustarten, solange bis diese Meldung nicht mehr angezeigt wird. Habe diese Fehlermeldung seit ein paar Wochen ignoriert.
Seit diesem Wochenende allerdings, taucht sie so gut wie nicht mehr auf. :D

-> Daraus entstand allerdings folgendes Problem, mein Computer hat ungemein an Geschwindigkeit verloren. Vorallem beim/ nach dem Start. (Autostart Problem?)

-> Der Taskmanager zeigt zwar noch Prozesse an, allerdings nicht welcher Benutzer sie ausführt. (zB. System, User A, User B, usw.)

Ich habe versucht mit Kaspersky einen Virusscan zu machen, allerdings zeigte er mir nach dem ersten Scan nur potenzielle Schwachstellen in diversen Windowsprogrammen an und keinen Virus.

Als ich Gestern versucht habe einen zweiten Scan zu starten war Kaspersky so langsam, dass ich nach 6 Std. den Scan abgebrochen habe. (gerade einmal 20% gescannt).

Jetzt würde ich mich sehr freuen wenn mir Jemand ein Wenig aushelfen könnte :)

Danke schonmal im Voraus an all die fleißigen Bienchen da draußen die sich die Zeit nehmen, dies hier zu lesen. :)

Habe ganz vergessen, dass ich HijackThis schon drüberlaufen habe lassen. Die Onlineauswertung zeigte allerdings keine schädlichen Programme an. Kann gerne die Logfile posten wenn gewünscht.

cosinus 13.04.2010 20:48
Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Bongbastick 14.04.2010 00:18
hxxp://www.file-upload.net/download-2433396/info.txt.html
hxxp://www.file-upload.net/download-2433397/hijackthis.log.html
hxxp://www.file-upload.net/download-2433400/mbam-log-2010-04-14--01-46-58-.txt.html
hxxp://www.file-upload.net/download-2433401/mbam-log-2010-04-14--00-41-57-.txt.html
hxxp://www.file-upload.net/download-2433402/mbam-log-2010-04-14--00-29-37-.txt.html
hxxp://www.file-upload.net/download-2433404/log.txt.html


Hoffe habe nichts vergessen :)

Und hoffe auch du/ihr könnt was damit anfangen.

Vielen Dank im Voraus und gute Nacht :>

cosinus 14.04.2010 08:29
Oje, da liegt anscheinend Backdoorbefall vor. Man kann eine Bereinigung versuchen, aber sicherer wäre eine Neuinstallation des Systems.
Wenn Du willst, können wir tiefer graben: Mach dazu Logfile mit OSAM und GMER anschließend OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Bongbastick 16.04.2010 18:12
Hier die GMER-Logfile:

hxxp://www.file-upload.net/download-2440057/GMER-Log.txt.html

und hier die Osam-Logfile:

hxxp://www.file-upload.net/download-2440055/Osam-Log.log.html

OTL-Extra-Logfile:

hxxp://www.file-upload.net/download-2440117/Extras.Txt.html

OTL-Logfile:

hxxp://www.file-upload.net/download-2440121/OTL.Txt.html

Hoffe du kannst erstmal was damit anfangen

Danke

cosinus 18.04.2010 09:43
Starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
Code:
:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
[2010.04.14 00:42:17 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\qlmrlpga.sys
:Commands
[resethosts]
[emptytemp]
Klick dann auf den Button Run Fixes!
Das Logfilemüsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte.

Bongbastick 18.04.2010 14:09
Hier die neue Logfile:

Zitat:
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
C:\WINDOWS\system32\drivers\qlmrlpga.sys moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Basti
->Temp folder emptied: 76735967 bytes
->Temporary Internet Files folder emptied: 458307 bytes
->FireFox cache emptied: 47937721 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 45617 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41044 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 9639390 bytes
%systemroot% .tmp files removed: 2543933 bytes
%systemroot%\System32 .tmp files removed: 3771271 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1185982010 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.266,00 mb


OTL by OldTimer - Version 3.2.1.1 log created on 04182010_145632

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 18.04.2010 14:57
Ok. Dann machen wir jetzt mal nen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bongbastick 19.04.2010 14:36
Was mache ich, wenn er den Neustart nicht automatisch initialisiert und somit auch kein Log ausspuckt? :(

cosinus 19.04.2010 14:48
Was ist denn hiermit:

Zitat:
Die Datei findest du außerdem unter: C:\ComboFix.txt.

Bongbastick 19.04.2010 16:28
Hmm ja richtig lesen bringt einen manchmal wirklich weiter >_<


Code:
ComboFix 10-04-17.07 - Basti 19.04.2010  17:08:14.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1619 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Basti\Desktop\Cofi.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\programme\DaemonTools_WhenUSave_Installer\vvsn.cfg
c:\windows\system32\_000110_.tmp.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2010-03-19 bis 2010-04-19  ))))))))))))))))))))))))))))))
.

2010-04-18 12:56 . 2010-04-18 12:56        --------        d-----w-        C:\_OTL
2010-04-16 17:02 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe
2010-04-13 22:58 . 2010-04-13 23:03        --------        d-----w-        C:\rsit
2010-04-13 20:06 . 2010-04-13 20:06        --------        d-----w-        c:\dokumente und einstellungen\Basti\Anwendungsdaten\Malwarebytes
2010-04-13 20:04 . 2010-03-29 13:24        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-13 20:04 . 2010-04-13 22:41        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-04-13 20:04 . 2010-04-13 20:04        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-13 20:04 . 2010-03-29 13:24        20824        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-04-13 19:43 . 2010-04-13 19:43        --------        d-----w-        c:\programme\CCleaner
2010-04-13 18:21 . 2010-04-13 18:21        --------        d-----w-        c:\programme\Trend Micro
2010-03-26 19:00 . 2010-03-26 19:00        41872        ----a-w-        c:\windows\system32\xfcodec.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-19 14:59 . 2008-11-10 23:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-04-19 14:48 . 2008-11-10 23:29        141296        --sha-w-        c:\windows\system32\drivers\fidbox2.idx
2010-04-19 14:48 . 2008-11-10 23:29        594248        --sha-w-        c:\windows\system32\drivers\fidbox.idx
2010-04-19 14:48 . 2008-11-10 23:29        44056352        --sha-w-        c:\windows\system32\drivers\fidbox.dat
2010-04-19 14:48 . 2008-11-10 23:29        1484576        --sha-w-        c:\windows\system32\drivers\fidbox2.dat
2010-04-19 14:48 . 2008-12-16 17:55        --------        d-----w-        c:\dokumente und einstellungen\Basti\Anwendungsdaten\DNA
2010-04-19 13:24 . 2008-11-12 16:20        --------        d-----w-        c:\dokumente und einstellungen\Basti\Anwendungsdaten\Xfire
2010-04-19 13:23 . 2009-01-11 09:26        --------        d-----w-        c:\programme\Steam
2010-04-19 13:23 . 2008-12-16 17:55        --------        d-----w-        c:\programme\DNA
2010-04-16 20:21 . 2010-03-08 16:00        --------        d-----w-        c:\dokumente und einstellungen\Basti\Anwendungsdaten\vlc
2010-04-16 20:21 . 2009-03-20 22:44        --------        d-----w-        c:\programme\Warcraft III
2010-04-15 18:39 . 2008-11-12 16:20        --------        d-s---w-        c:\programme\Xfire
2010-04-13 22:29 . 2009-03-06 20:30        --------        d-----w-        c:\programme\DAEMON Tools
2010-04-08 16:47 . 2009-03-06 22:33        --------        d-----w-        c:\dokumente und einstellungen\Basti\Anwendungsdaten\Ubisoft
2010-04-08 16:47 . 2009-03-06 22:31        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ubisoft
2010-04-08 16:42 . 2008-12-03 15:12        --------        d-----w-        c:\programme\Ubisoft
2010-04-08 16:42 . 2008-11-10 22:18        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-04-04 00:15 . 2008-11-10 22:40        196608        ----a-w-        c:\windows\system32\drivers\nStandard.bin
2010-03-30 20:16 . 2009-03-06 22:07        215128        ----a-w-        c:\windows\system32\PnkBstrB.exe
2010-03-30 19:56 . 2009-03-06 22:07        139128        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2010-03-30 15:12 . 2008-11-30 22:37        --------        d-----w-        c:\dokumente und einstellungen\Basti\Anwendungsdaten\dvdcss
2010-03-28 13:03 . 2004-08-16 18:23        458806        ----a-w-        c:\windows\system32\perfh007.dat
2010-03-28 13:03 . 2004-08-16 18:23        84516        ----a-w-        c:\windows\system32\perfc007.dat
2010-03-25 18:53 . 2009-04-26 16:58        --------        d-----w-        c:\programme\Opera
2010-03-17 16:33 . 2009-03-20 22:48        174252        ----a-w-        c:\windows\War3Unin.dat
2010-03-16 16:45 . 2009-03-06 22:07        75064        ----a-w-        c:\windows\system32\PnkBstrA.exe
2010-03-13 01:04 . 2010-03-12 15:38        --------        d-----w-        c:\programme\Mass Effect 2
2010-03-12 16:13 . 2009-03-12 22:20        --------        d-----w-        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-03-12 16:12 . 2008-12-03 15:16        --------        d-----w-        c:\programme\AGEIA Technologies
2010-03-12 16:10 . 2009-03-07 18:40        --------        d-----w-        c:\programme\Gemeinsame Dateien\BioWare
2010-03-11 12:31 . 2004-08-16 18:30        832512        ----a-w-        c:\windows\system32\wininet.dll
2010-03-11 12:31 . 2004-08-16 18:17        78336        ----a-w-        c:\windows\system32\ieencode.dll
2010-03-11 12:31 . 2004-08-16 18:15        17408        ------w-        c:\windows\system32\corpol.dll
2010-03-09 11:09 . 2004-08-16 18:29        430080        ----a-w-        c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2004-08-16 18:19        455680        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:04 . 2004-08-16 18:22        2148864        ----a-w-        c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2004-08-04 00:50        2027008        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2010-02-12 04:33 . 2004-08-16 18:14        100864        ----a-w-        c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-16 18:27        226880        ----a-w-        c:\windows\system32\drivers\tcpip6.sys
2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll
2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\programme\opera\program\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS SmartDoctor"="c:\program files\ASUS\SmartDoctor\SmartDoctor.exe" [2007-10-01 1126400]
"BitTorrent DNA"="c:\programme\DNA\btdna.exe" [2009-11-07 323392]
"Steam"="c:\programme\steam\steam.exe" [2010-02-20 1217872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 16143872]
"JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-06-29 352256]
"Ai Quicker Help"="c:\program files\ASUS\ASUS DH Remote\AsRc.exe" [2006-07-19 3167744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"nwiz"="nwiz.exe" [2009-02-18 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-22 208616]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Basti\Startmen\Programme\Autostart\
Xfire.lnk - c:\programme\Xfire\Xfire.exe [2010-3-26 3250576]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
ASUS WiFi-AP Solo.lnk - c:\programme\ASUS WiFi-AP Solo\RtWLan.exe [2008-11-11 987136]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-12-7 813584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 11:28        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Basti^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]
path=c:\dokumente und einstellungen\Basti\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2006-11-12 10:48        157592        ----a-w-        c:\programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44        3883840        ----a-w-        c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
2010-01-26 17:46        2633976        ----a-w-        c:\programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\THQ\\Gas Powered Games\\Supreme Commander\\bin\\SupremeCommander.exe"=
"c:\\Programme\\THQ\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"c:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"c:\\Games\\Mass Effect\\Binaries\\MassEffect.exe"=
"c:\\Games\\Mass Effect\\MassEffectLauncher.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\trackmania nations forever\\TmForever.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\trackmania nations forever\\TmForeverLauncher.exe"=
"c:\\Programme\\Xfire\\Xfire.exe"=
"c:\\Programme\\Warcraft III\\war3.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\Touchstone\\Turok\\Binaries\\TurokGame.exe"=
"c:\\Programme\\Valve\\CStrike_1.6\\hl.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\CAPCOM\\STREETFIGHTERIV\\StreetFighterIV.exe"=
"c:\\Programme\\Codemasters\\Overlord II\\Overlord2.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\fear2\\FEAR2.exe"=
"c:\\gPotato.eu\\Allods Online\\bin\\Launcher.exe"=
"c:\\gPotato.eu\\Allods Online\\bin\\AOgame.exe"=
"c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\call of duty modern warfare 2\\iw4sp.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\call of duty modern warfare 2\\iw4mp.exe"=
"c:\\Programme\\Mass Effect 2\\Binaries\\MassEffect2.exe"=
"c:\\Programme\\Mass Effect 2\\MassEffect2Launcher.exe"=
"z:\\Battlefield Bad Company 2\\BFBC2Updater.exe"=
"c:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"z:\\Assassins Creed II\\AssassinsCreedIIGame.exe"=
"z:\\Assassins Creed II\\AssassinsCreedII.exe"=
"z:\\Assassins Creed II\\UPlayBrowser.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
"8393:TCP"= 8393:TCP:League of Legends Lobby
"8393:UDP"= 8393:UDP:League of Legends Lobby
"8390:TCP"= 8390:TCP:League of Legends Game Client
"8390:UDP"= 8390:UDP:League of Legends Game Client
"6924:TCP"= 6924:TCP:League of Legends Launcher
"6924:UDP"= 6924:UDP:League of Legends Launcher

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 17:29 33808]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 18:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [11.11.2008 00:23 176128]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06.03.2009 22:28 639224]
S3 hamachi_oem;PlayLinc Adapter;c:\windows\system32\drivers\gan_adapter.sys [29.08.2006 00:54 10664]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02.08.2005 23:10 32512]
S3 XDva225;XDva225;\??\c:\windows\system32\XDva225.sys --> c:\windows\system32\XDva225.sys [?]
S3 XDva277;XDva277;\??\c:\windows\system32\XDva277.sys --> c:\windows\system32\XDva277.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.pafnet.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {DE674476-D251-4E26-A47D-4E93036EA82E} = 192.168.1.100
DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} - hxxps://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.21.0.cab
FF - ProfilePath - c:\dokumente und einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\v7jyxcyk.default\
FF - plugin: c:\dokumente und einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\v7jyxcyk.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-{8DC910CD-8EE3-4ffc-A4EB-9B02701059C4} - d:\bf\uninstaller.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-19 17:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1004336348-1770027372-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f6,bc,d4,bf,e9,61,bf,39,7f,fc,ca,b1,cc,ec,36,b8,b7,3b,08,6c,24,2d,2f,
  4f,fd,d4,d9,af,25,f4,a5,e3,f5,77,8a,1c,cc,d2,52,da,72,6d,17,98,dd,8a,c8,c4,\
"??"=hex:f3,b4,6b,07,fc,cc,a1,77,13,35,32,ed,07,34,8a,e8

[HKEY_USERS\S-1-5-21-1004336348-1770027372-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:a4,c7,2b,f9,a0,8f,90,95,df,ca,32,19,45,aa,7a,0d,33,d7,79,05,e3,
  c5,23,a9,a1,fe,d5,20,4f,fb,44,59,d8,53,99,5d,fb,2b,bc,f7,e5,9b,db,65,ed,17,\
"rkeysecu"=hex:04,0e,51,96,0f,76,b6,c9,8b,05,4a,8e,f9,be,4f,2c

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1204)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2010-04-19  17:22:19

ComboFix-quarantined-files.txt  2010-04-19 15:22

Vor Suchlauf: 19 Verzeichnis(se), 10.870.116.352 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 10.956.619.776 Bytes frei

- - End Of File - - B3CE5F59732A01CD402772EB9CF1BE15

cosinus 19.04.2010 20:19
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Bongbastick 20.04.2010 06:46
Hier der Malwarebytes-Log von heute Nacht:

Code:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4007

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

20.04.2010 00:25:20
mbam-log-2010-04-20 (00-25-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|F:\|Z:\|)
Durchsuchte Objekte: 279354
Laufzeit: 2 Stunde(n), 42 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Die andere Logfile kommt auch gleich.

Bongbastick 20.04.2010 14:29
hier der SuperAntispyware-Log:

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/20/2010 at 03:26 PM

Application Version : 4.35.1002

Core Rules Database Version : 4827
Trace Rules Database Version: 2639

Scan type      : Complete Scan
Total Scan Time : 07:29:15

Memory items scanned      : 437
Memory threats detected  : 0
Registry items scanned    : 4550
Registry threats detected : 0
File items scanned        : 182766
File threats detected    : 4

Trojan.Agent/Gen-Nullo[Short]
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC9A2978-0116-4E74-BF2D-D1F13EA101C8}\RP523\A0314540.EXE
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC9A2978-0116-4E74-BF2D-D1F13EA101C8}\RP523\A0314541.EXE
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC9A2978-0116-4E74-BF2D-D1F13EA101C8}\RP523\A0314542.EXE
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC9A2978-0116-4E74-BF2D-D1F13EA101C8}\RP530\A0319975.EXE

cosinus 20.04.2010 14:47
Die SASW Funde waren nur noch in der SWH, kannst Du löschen. Sonst Rechner wieder soweit ok?


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:10 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131