Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows XP Weißer Bildschirm nach der Anmeldung (https://www.trojaner-board.de/137756-windows-xp-weisser-bildschirm-anmeldung.html)

Knoedel68 05.07.2013 15:20
Windows XP Weißer Bildschirm nach der Anmeldung
 
Hallo,

ich bin neu hier und melde mich gleich mal mit einem Problem.

Gestern hat mein Antivirenprogramm (Avira AntiVir) eine Virenwarnung ausgegeben. Als ich bei dieser auf "Entfernen" geklickt habe, wurde mein Bildschirm komplett weiß und hat auf nichts mehr reagiert. Ich habe den Laptop dann ausgeschaltet und wieder eingeschaltet. Er fuhr hoch, hat sich angemeldet, ich habe den Desktopm mit allen Icons gesehen, konnte auch Ordner und Dateien öffnen. Nach wenigen Sekunden kam aber wieder dieselbe Virenwarnung und der Desktop wurde komplett weiß. Dies ist jetzt jedesmal, wenn ich ihn aus- und einschalte so.
Ich habe versucht den Laptop im abgesicherten Modus zu starten. Er bleibt dort aber komplett schwarz, bis auf den Text am Rand "Abgesicherter Modus" etc.

Ich habe jetzt leider keine Ahnung, was ich tun soll.
Ich hab hier im Forum schon einige Threads mit dem selben Problem gesehen, da aber jeweils dabei stand, dass die Ratschläge nur für den Einzelfall gedacht sind, habe ich mich dazu entschieden einen neuen Thread zu eröffnen.

Wahrscheinlich werde ich ja einige Software benötigen. Dies kann dann etwas dauern, da ich erstmal schauen muss, wo ich ins Internet komme.

Zu meinem Laptop: Modell: Lenovo Thinkpad T60, Betriebssystem: Windows XP Professional

Ich hoffe mir kann jemand weiter helfen.

Vielen Dank im Voraus!

ryder 05.07.2013 15:29
Probiere bitte, ob du eine Eingabeaufforderung bekommst, wenn du abgesichert mit Eingabeaufforderung bootest.

So funktioniert es - Windows XP, Vista und 7:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:
Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung
Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

So funktioniert es - Windows 8: Alternative Anleitung

Knoedel68 05.07.2013 15:32
Nein, ich bekomme keine Eingabeaufforderung.

ryder 05.07.2013 15:35
Okay, dann probieren wir erstmal, ob diese Variante funktioniert:

Computer entsperren mit HitmanPro.Kickstart

Du brauchst hierfür einen USB-Stick. Achtung: Alle Daten darauf werden verloren gehen!
  • Bereite deinen USB-Stick wie folgt vor: Anleitung: HitmanPro.Kickstart
  • Schliesse deinen präparierten Stick an den infizierten Rechner an und starte ihn vom Stick: Anleitung: Starten vom USB-Stick
  • Es erscheint ein Bootmenü von HitmanPro - wähle zunächst Methode 1 aus und wenn das nicht klappen sollte, dann Methode 2.
  • Windows wird jetzt ganz normal starten. Wenn der Sperrschirm des Trojaners erscheint warte einfach ab. HitmanPro sollte in wenigen Sekunden gestartet werden (grünes Fenster).
  • Klicke jetzt: Weiter > "Nein, ich möchte nur einen Einmalscan ..." > Weiter
  • Der Computer wird jetzt untersucht, mache in dieser Zeit bitte nichts.
  • Klicke dann weiter, um die Funde in die Quarantäne zu verschieben.
  • Klicke jetzt unten links auf "Logfile speichern" und lege es auf dem Desktop ab.
  • Lasse den Rechner neu starten, berichte ob alles geklappt hat und poste mir hier das Logfile von HitmanPro.


Video-Anleitung: HitmanPro.Kickstart in Aktion (englisch)

Knoedel68 05.07.2013 15:42
Alles klar.
Das kann nur etwas dauern. Ich muss jetzt erst mal schauen, wo ich das Programm runterladen kann. Hier bei der Arbeit darf ich nichts runterladen.
Ich melde mich sobald ich den Schritt gemacht habe. Schonmal vielen Dank.

ryder 05.07.2013 15:43
Alles klar.

Knoedel68 06.07.2013 15:07
Ich hab das jetzt probiert.
USB-Stick hab ich erstellt; Methode 1 durchgeführt und den Logfile gespeichert.
Leider hat sich dadurch das Problem aber nicht behoben, wodurch ich natürlich auch nicht an den Log-File komme.
Ich wollte dann Methode 2 durchführen, bekomme aber folgende Fehlermeldung:

"Der Systemprozess C:/WINDOWS/system32/services.exe wurde unerwartet mit dem Statuscode -1 beendet. Das System wird heruntergefahren und neu gestartet."

ryder 06.07.2013 15:39
Nach der Aktion mit Hitman ... kommst du jetzt in abgesichert mit Eingabeaufforderung? Falls NICHT, dann ...

http://www.trojaner-board.de/90074-otlpe.html

Knoedel68 06.07.2013 15:52
Im abgesicherten Modus mit Eingabeaufforderung bekomme ich als Admin jetzt eine Eingabeaufforderung.

ryder 06.07.2013 16:01
Hervorragend!

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

  1. Combofix kopieren
    • Lade dir Combofix an einem sauberen Rechner (evtl. Nachbar, Freund, ...) von einem dieser Downloadlinks: Link
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
  2. Start mit Eingabeaufforderung
    • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
    • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
    • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
  3. Combofix starten
    • Tippe explorer (Enter)
    • Finde den USB-Stick und starte Combofix mit einem Doppelklick.
    • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
    • Übergehe alle anderen Warnungen mit OK.
  4. Logfile posten
    • Es könnte eine Warnung erscheinen, ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
    • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
    • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor anklicken - Anleitung)
    • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Knoedel68 06.07.2013 16:41
Das scheint funktioniert zu haben.

Hier der Log-File:

Code:
ComboFix 13-07-06.03 - Administrator 06.07.2013  17:28:15.2.2 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1774 [GMT 2:00]
ausgeführt von:: G:\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\{AC76BA86-7AD7-1031-7B44-AB0000000001}\FixTransforms.exe
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\AskSLib.dll
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\BITB.tmp
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\MozUpdater\updater.exe
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\odvbalowogwjrocav.dll
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\odvbalowogwjrocav.exe
c:\windows\EventSystem.log
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\TPHDLOG0.LOG
c:\windows\wininit.ini
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-06-06 bis 2013-07-06  ))))))))))))))))))))))))))))))
.
.
2013-07-06 15:07 . 2013-07-06 15:07        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2013-07-06 13:58 . 2013-07-06 13:58        --------        d-----w-        c:\programme\GUM3.tmp
2013-07-06 13:58 . 2013-07-06 13:58        4249600        ----a-w-        c:\programme\GUT4.tmp
2013-07-06 13:19 . 2013-07-06 13:51        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\HitmanPro
2013-06-19 21:16 . 2013-06-19 21:16        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype
2013-06-19 21:16 . 2013-06-19 21:16        --------        d-----r-        c:\programme\Skype
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-12 05:52 . 2012-04-02 10:00        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-06-12 05:52 . 2011-06-09 23:25        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-03 05:39 . 2004-08-03 23:50        2031104        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2013-05-03 05:39 . 1979-12-31 23:00        2152448        ----a-w-        c:\windows\system32\ntoskrnl.exe
2013-04-16 21:53 . 1979-12-31 23:00        841216        ----a-w-        c:\windows\system32\wininet.dll
2013-04-16 21:53 . 1979-12-31 23:00        1830912        ------w-        c:\windows\system32\inetcpl.cpl
2013-04-16 21:53 . 1979-12-31 23:00        78336        ----a-w-        c:\windows\system32\ieencode.dll
2013-04-16 21:53 . 1979-12-31 23:00        17408        ------w-        c:\windows\system32\corpol.dll
2013-04-12 23:28 . 1979-12-31 23:00        389120        ----a-w-        c:\windows\system32\html.iec
2013-04-12 14:00 . 1979-12-31 23:00        1876480        ----a-w-        c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45        130736        ----a-w-        c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45        130736        ----a-w-        c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45        130736        ----a-w-        c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45        130736        ----a-w-        c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2013-01-24 18707048]
"MsgCenterExe"="c:\programme\real\realplayer\update\RealOneMessageCenter.exe" [2012-06-08 79008]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-09-15 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-09-15 512000]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"TpShocks"="TpShocks.exe" [2005-11-07 106496]
"TP4EX"="tp4ex.exe" [2005-10-17 65536]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-03-09 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-12-15 925696]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2005-12-07 151552]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-12-07 208896]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896]
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2012-06-08 296056]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="StartAs" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2006-04-17 12:01        32768        ----a-w-        c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-08-14 14:54        89600        ----a-w-        c:\windows\system32\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45        28672        ----a-w-        c:\windows\system32\notifyf2.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 19:16        24576        ----a-w-        c:\windows\system32\tphklock.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37Crusader]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37CrusaderBoot]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=c:\windows\pss\Digital Line Detect.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^User^Startmenü^Programme^Autostart^PNotes.lnk]
path=c:\dokumente und einstellungen\User\Startmenü\Programme\Autostart\PNotes.lnk
backup=c:\windows\pss\PNotes.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cssauth]
2005-12-21 17:08        1996336        -c--a-w-        c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 05:52        15360        ----a-w-        c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2012-04-11 09:54        3672384        ----a-w-        d:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXMediaServer]
2012-11-13 18:13        450560        ----a-w-        c:\programme\DivX\DivX Media Server\DivXMediaServer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2012-11-30 02:06        1263512        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2010-10-12 12:56        979328        ----a-w-        c:\programme\Epson Software\Event Manager\EEventManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Epson Stylus SX235(Netzwerk)]
2012-02-29 06:03        249440        ----a-w-        c:\windows\system32\spool\drivers\w32x86\3\E_FATIHLE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON SX235 Series]
2012-02-29 06:03        249440        ----a-w-        c:\windows\system32\spool\drivers\w32x86\3\E_FATIHLE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EZEJMNAP]
2005-11-17 01:22        237568        -c--a-w-        c:\progra~1\ThinkPad\UTILIT~1\EZEJMNAP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LPManager]
2006-01-25 00:03        106496        -c--a-w-        c:\progra~1\THINKV~1\PrdCtr\LPMGR.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDService.exe]
2005-11-15 12:13        49152        -c--a-r-        c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSQLLauncher]
2007-08-14 14:32        48904        -c--a-w-        c:\programme\ThinkVantage Fingerprint Software\launcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2013-01-24 10:28        18707048        ----a-r-        c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\suScheduler]
2005-08-01 16:32        40960        -c--a-w-        c:\programme\ThinkVantage\SystemUpdate\UCLauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2012-06-08 08:37        296056        ----a-w-        c:\programme\Real\RealPlayer\Update\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2011-12-09 17:22        74752        ----a-w-        d:\programme\Winamp\winampa.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UCLauncherService"=2 (0x2)
"TVT Scheduler"=2 (0x2)
"TVT Backup Service"=2 (0x2)
"SymSecurePort"=2 (0x2)
"Symantec AntiVirus"=2 (0x2)
"SPBBCSvc"=3 (0x3)
"SNDSrvc"=2 (0x2)
"SavRoam"=3 (0x3)
"gusvc"=3 (0x3)
"Diskeeper"=2 (0x2)
"DefWatch"=2 (0x2)
"ccSetMgr"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccProxy"=2 (0x2)
"ccEvtMgr"=2 (0x2)
"PsaSrv"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\HydraIRC\\HydraIRC.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"d:\\Programme\\Trillian\\trillian.exe"=
"d:\\Programme\\Opera\\opera.exe"=
"d:\\Programme\\MyPhoneExplorer\\MyPhoneExplorer.exe"=
"d:\\Programme\\Veetle\\Player\\VeetleNet.exe"=
"c:\\Programme\\Epson Software\\Event Manager\\EEventManager.exe"=
"d:\\Programme\\Opera\\pluginwrapper\\opera_plugin_wrapper.exe"=
"c:\\Dokumente und Einstellungen\\User\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"d:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17996:UDP"= 17996:UDP:UDP 17996
"11861:TCP"= 11861:TCP:TCP 11861
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.10.2011 12:03 36000]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [21.05.2012 22:52 242240]
R2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14.05.2009 18:07 759048]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.10.2011 12:03 86224]
R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys [15.11.2005 14:11 46142]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [21.12.2005 17:45 3968]
R2 smihlp;SMI Helper Driver (smihlp);c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [14.08.2007 16:46 10896]
R3 EuMusDesignVirtualAudioCableWdm;Virtual Audio Cable (WDM);c:\windows\system32\drivers\vrtaucbl.sys [17.02.2012 05:37 50944]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys --> c:\windows\system32\DRIVERS\ewusbnet.sys [?]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [23.09.2012 20:12 12400]
S3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [25.09.2012 17:57 15576]
S3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [25.09.2012 17:57 10200]
S4 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [24.01.2013 12:24 161384]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fc9509a-0de3-11e1-b336-0019d296f29a}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fc9509e-0de3-11e1-b336-001641e48e46}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6a7f26b8-5ce3-11e1-b39f-001641e48e46}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0ce659b-20db-11e1-b350-001641e48e46}]
\Shell\AutoRun\command - Iomega Encryption Utility.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-02-07 20:58]
.
2013-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-02-07 20:58]
.
2013-07-06 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2008-01-11 00:12]
.
2013-07-06 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3458925570-4173158993-4006367833-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
.
2013-05-30 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3458925570-4173158993-4006367833-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
.
2013-06-19 c:\windows\Tasks\ReclaimerUpdateFiles_User.job
- c:\dokumente und einstellungen\User\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\rnupgagent.exe [2013-06-15 23:04]
.
2013-07-02 c:\windows\Tasks\ReclaimerUpdateXML_User.job
- c:\dokumente und einstellungen\User\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\rnupgagent.exe [2013-06-15 23:04]
.
2013-07-06 c:\windows\Tasks\RNUpgradeHelperLogonPrompt_User.job
- c:\dokumente und einstellungen\User\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\rnupgagent.exe [2013-06-15 23:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
mStart Page = hxxp://de.yahoo.com/?fr=fp-tyc8
IE: Senden an &Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
Trusted Zone: ing-diba.de\verein
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\rq6twxjy.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - (no file)
WebBrowser-{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - (no file)
HKCU-Run-qcgce2mrvjq91kk1e7pnbb19m52fx - c:\dokume~1\User\LOKALE~1\Temp\odvbalowogwjrocav.exe
HKLM-Explorer_Run-665 - c:\dokume~1\ALLUSE~1\Local Settings\Temp\msdubmn.bat
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-Mozilla Thunderbird (3.1.10) - c:\programme\Mozilla Thunderbird\uninstall\helper.exe
AddRemove-Presentation Director - c:\windows\IsUn0407.exe
AddRemove-toolplugin - c:\dokume~1\User\LOKALE~1\Temp\WZSE0.TMP\setup.exe
AddRemove-_{511DE7EA-AA68-4D7A-A2E3-0E7B5186B822} - c:\programme\Corel\CorelDRAW Graphics Suite X6\Setup\SetupARP.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-07-06 17:35
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3458925570-4173158993-4006367833-1005\Software\SecuROM\License information*]
"datasecu"=hex:0c,7d,3d,77,31,bb,29,36,58,9a,dc,67,4a,fa,3e,4a,5b,de,f1,17,74,
  5c,cb,5b,fc,7f,5e,dc,84,00,1c,f8,a4,69,44,8a,54,df,a2,32,1d,4e,b6,e3,2a,c9,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1764)
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\ps2css.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\windows\system32\tphklock.dll
.
- - - - - - - > 'explorer.exe'(4920)
c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\System32\TPHDEXLG.EXE
c:\windows\system32\TpKmpSVC.exe
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\windows\system32\wdfmgr.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\TpShocks.exe
c:\windows\system32\rundll32.exe
c:\programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\Dropbox.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
d:\programme\OpenOffice\program\soffice.exe
d:\programme\OpenOffice\program\soffice.bin
c:\\?\c:\windows\system32\WBEM\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-07-06  17:39:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-07-06 15:39
ComboFix2.txt  2013-07-06 15:22
.
Vor Suchlauf: 6.492.397.568 Bytes frei
Nach Suchlauf: 4.317.757.440 Bytes frei
.
- - End Of File - - 5C751FC4E4627DAFDBF579DF8D18E36E
72B8CE41AF0DE751C946802B3ED844B4

ryder 06.07.2013 16:53
Hm das sieht ziemlich exotisch aus bei dir ...

Kannst du jetzt normal booten?
Wenn ja, dann berichte bitte ob da alles okay aussieht. Dann geht es weiter.

Knoedel68 06.07.2013 16:59
Ja, ich kann wieder normal booten und es sieht alles wieder normal aus.
Was ich vergessen hatte zu sagen: ComboFix musste ich zweimal laufen lassen. Nach dem ersten Mal kam während des Erstellen des Log-Files ein Hinweis der GUV auf Rechtsverstöße. Allerdings mit ausreichend Rechtschreibfehlern um das als nicht seriös einordnen zu können.

ryder 06.07.2013 17:01
Okay ... dann finde bitte die erste Logdatei und zeige sie mir auch.

c:\qoobox\combofix2.txt sollte sie heissen

Knoedel68 06.07.2013 17:03
Alles klar, hier ist sie:

Code:
ComboFix 13-07-06.03 - Administrator 06.07.2013  17:12:01.1.2 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1648 [GMT 2:00]
ausgeführt von:: G:\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\2433f433
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{B46BEA36-0B71-4A4E-AE41-87241643FA0A}\PostBuild.exe
c:\dokumente und einstellungen\User\Anwendungsdaten\toolplugin\toOLbar.dll
c:\windows\IsUn0407.exe
c:\windows\system32\Cache
c:\windows\system32\Cache\272512937d9e61a4.fb
c:\windows\system32\Cache\287204568329e189.fb
c:\windows\system32\Cache\28bc8f716fd76a47.fb
c:\windows\system32\Cache\31a0997e9a5b5eb3.fb
c:\windows\system32\Cache\32c84fe32bb74d60.fb
c:\windows\system32\Cache\3917078cb68ec657.fb
c:\windows\system32\Cache\590ba23ce359fd0c.fb
c:\windows\system32\Cache\610289e025a3ee9a.fb
c:\windows\system32\Cache\64ea0b6f7d0ce46b.fb
c:\windows\system32\Cache\651c5d3cdbfb8bd1.fb
c:\windows\system32\Cache\6c59ac5e7e7a3ad0.fb
c:\windows\system32\Cache\6d03dad1035885d3.fb
c:\windows\system32\Cache\a8556537add6dfc5.fb
c:\windows\system32\Cache\ad10a52aff5e038d.fb
c:\windows\system32\Cache\c1fa887b03019701.fb
c:\windows\system32\Cache\c4d28dca2e7648be.fb
c:\windows\system32\Cache\d201ef9910cd39de.fb
c:\windows\system32\Cache\d2e94710a5708128.fb
c:\windows\system32\Cache\d79b9dfe81484ec4.fb
c:\windows\system32\Cache\f998975c9cc711ee.fb
c:\windows\system32\TPAPSLOG.LOG
c:\windows\system32\TPHDLOG0.LOG
.
Infizierte Kopie von c:\windows\system32\mshtml.dll wurde gefunden und desinfiziert
Kopie von - c:\windows\ie7updates\KB2829530-IE7\mshtml.dll wurde wiederhergestellt
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-06-06 bis 2013-07-06  ))))))))))))))))))))))))))))))
.
.
2013-07-06 15:07 . 2013-07-06 15:07        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2013-07-06 13:58 . 2013-07-06 13:58        --------        d-----w-        c:\programme\GUM3.tmp
2013-07-06 13:58 . 2013-07-06 13:58        4249600        ----a-w-        c:\programme\GUT4.tmp
2013-07-06 13:19 . 2013-07-06 13:51        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\HitmanPro
2013-06-19 21:16 . 2013-06-19 21:16        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype
2013-06-19 21:16 . 2013-06-19 21:16        --------        d-----r-        c:\programme\Skype
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
Kryptografiedienst Fehler !!
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2013-01-24 18707048]
"MsgCenterExe"="c:\programme\real\realplayer\update\RealOneMessageCenter.exe" [2012-06-08 79008]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-09-15 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-09-15 512000]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"TpShocks"="TpShocks.exe" [2005-11-07 106496]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-03-09 94208]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2005-12-07 151552]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-12-07 208896]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896]
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2012-06-08 296056]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="StartAs" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2006-04-17 12:01        32768        ----a-w-        c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-08-14 14:54        89600        ----a-w-        c:\windows\system32\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45        28672        ----a-w-        c:\windows\system32\notifyf2.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 19:16        24576        ----a-w-        c:\windows\system32\tphklock.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages        REG_MULTI_SZ          %I
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37Crusader]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37CrusaderBoot]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=c:\windows\pss\Digital Line Detect.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^User^Startmenü^Programme^Autostart^PNotes.lnk]
path=c:\dokumente und einstellungen\User\Startmenü\Programme\Autostart\PNotes.lnk
backup=c:\windows\pss\PNotes.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPLTarget
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cssauth]
2005-12-21 17:08        1996336        -c--a-w-        c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 05:52        15360        ----a-w-        c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXMediaServer]
2012-11-13 18:13        450560        ----a-w-        c:\programme\DivX\DivX Media Server\DivXMediaServer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2012-11-30 02:06        1263512        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2010-10-12 12:56        979328        ----a-w-        c:\programme\Epson Software\Event Manager\EEventManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPLTarget\P0000000000000000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPLTarget\P0000000000000001]
2012-02-29 06:03        249440        ----a-w-        c:\windows\system32\spool\drivers\w32x86\3\E_FATIHLE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Epson Stylus SX235(Netzwerk)]
2012-02-29 06:03        249440        ----a-w-        c:\windows\system32\spool\drivers\w32x86\3\E_FATIHLE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON SX235 Series]
2012-02-29 06:03        249440        ----a-w-        c:\windows\system32\spool\drivers\w32x86\3\E_FATIHLE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EZEJMNAP]
2005-11-17 01:22        237568        -c--a-w-        c:\progra~1\ThinkPad\UTILIT~1\EZEJMNAP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LPManager]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDService.exe]
2005-11-15 12:13        49152        -c--a-r-        c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSQLLauncher]
2007-08-14 14:32        48904        -c--a-w-        c:\programme\ThinkVantage Fingerprint Software\launcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\suScheduler]
2005-08-01 16:32        40960        -c--a-w-        c:\programme\ThinkVantage\SystemUpdate\UCLauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2012-06-08 08:37        296056        ----a-w-        c:\programme\Real\RealPlayer\Update\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2011-12-09 17:22        74752        ----a-w-        d:\programme\Winamp\winampa.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UCLauncherService"=2 (0x2)
"TVT Scheduler"=2 (0x2)
"TVT Backup Service"=2 (0x2)
"SymSecurePort"=2 (0x2)
"Symantec AntiVirus"=2 (0x2)
"SPBBCSvc"=3 (0x3)
"SNDSrvc"=2 (0x2)
"SavRoam"=3 (0x3)
"gusvc"=3 (0x3)
"Diskeeper"=2 (0x2)
"DefWatch"=2 (0x2)
"ccSetMgr"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccProxy"=2 (0x2)
"ccEvtMgr"=2 (0x2)
"PsaSrv"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\HydraIRC\\HydraIRC.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"d:\\Programme\\Trillian\\trillian.exe"=
"d:\\Programme\\Opera\\opera.exe"=
"d:\\Programme\\MyPhoneExplorer\\MyPhoneExplorer.exe"=
"d:\\Programme\\Veetle\\Player\\VeetleNet.exe"=
"c:\\Programme\\Epson Software\\Event Manager\\EEventManager.exe"=
"d:\\Programme\\Opera\\pluginwrapper\\opera_plugin_wrapper.exe"=
"c:\\Dokumente und Einstellungen\\User\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"d:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17996:UDP"= 17996:UDP:UDP 17996
"11861:TCP"= 11861:TCP:TCP 11861
.
Inhalt des "geplante Tasks" Ordners
.
2013-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-02-07 20:58]
.
2013-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-02-07 20:58]
.
2013-07-06 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3458925570-4173158993-4006367833-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
.
2013-05-30 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3458925570-4173158993-4006367833-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
.
2013-07-02 c:\windows\Tasks\ReclaimerUpdateXML_User.job
- c:\dokumente und einstellungen\User\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\rnupgagent.exe [2013-06-15 23:04]
.
2013-07-06 c:\windows\Tasks\RNUpgradeHelperLogonPrompt_User.job
- c:\dokumente und einstellungen\User\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\rnupgagent.exe [2013-06-15 23:04]
.
Supplementary scan did not complete!
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Notify-NavLogon - (no file)
MSConfigStartUp-AMSG - c:\programme\ThinkVantage\AMSG\Amsg.exe
MSConfigStartUp-ApnUpdater - c:\programme\Ask.com\Updater\Updater.exe
MSConfigStartUp-ccApp - c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
MSConfigStartUp-DiskeeperSystray - c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
MSConfigStartUp-Google Desktop Search - c:\programme\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-Nuezu - c:\dokumente und einstellungen\User\Anwendungsdaten\Qeomar\atmur.exe
MSConfigStartUp-Picasa Media Detector - c:\programme\Picasa2\PicasaMediaDetector.exe
MSConfigStartUp-ROC_ROC_NT - c:\programme\AVG Secure Search\ROC_ROC_NT.exe
MSConfigStartUp-Search Protection - c:\programme\Yahoo!\Search Protection\SearchProtection.exe
MSConfigStartUp-vProt - c:\programme\AVG Secure Search\vprot.exe
MSConfigStartUp-vptray - c:\progra~1\SYMANT~1\SYMANT~2\VPTray.exe
MSConfigStartUp-yecjhmlembhwdeq - c:\windows\yecjhmle.exe
MSConfigStartUp-{E7F0C0A6-1A2F-AD7E-8693-018F94C9229D} - c:\dokumente und einstellungen\User\Anwendungsdaten\Ozgew\kuyz.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-07-06 17:21
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
.
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\sched.exe
c:\programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
c:\programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\System32\TPHDEXLG.EXE
c:\windows\system32\TpKmpSVC.exe
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\windows\system32\wdfmgr.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\programme\Avira\AntiVir Desktop\avgnt.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-07-06  17:22:31 - PC wurde neu gestartet
.
Vor Suchlauf: 6.204.624.896 Bytes frei
Nach Suchlauf: 4.346.474.496 Bytes frei
.
- - End Of File - - F8C926C28E3C178591C7FD4C413A9B7B
72B8CE41AF0DE751C946802B3ED844B4


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:24 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132