Programme starten nicht mehr ordentlich: Meldung:C:\WINDOWS\system32\rundll3Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
10.06.2008, 09:00
...neu hier
Beiträge: 7 |
||
|
||
10.06.2008, 16:08
Ehrenmitglied
Beiträge: 29434 |
#47
««
das beste, du löschst den Ordnder völlig C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott «« scanne mit f-secure + poste den report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.06.2008, 14:35
...neu hier
Beiträge: 7 |
#48
Hi,
den Ordner habe ich gelöscht. Das war quasi mein Quarantäne-Ordner..... Hier das Log von f-secure: (hat doch noch etwas gefunden !?!?) Zitat Scanning ReportGrüße feliks |
|
|
||
11.06.2008, 15:17
Ehrenmitglied
Beiträge: 29434 |
#49
feliks
ich denke, wenn du noch mit anderen Onlinescannern arbeitest, wird noch mehr gefunden - das System war über beide Ohren kompromitiert + verseucht «« sophos-anti-rootkit - scanne http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html «« sdfix http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien -------- und wenn du mal Zeit und Musse hast, sichere deine Daten und formatiere, denn trotz Reinigung ist dein System nicht mehr sicher... siehe Rootkit: Hnt63.sys das zum Beispiel bekomme ich ohne die renv.exe nicht gelöst... die Datei ist verseucht und vom Virus ersetzt.... (sieht man an der Leerstelle) am besten löschen ! Zitat <pre> __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.08.2009, 18:02
...neu hier
Beiträge: 2 |
#50
Hallo,
auch ich habe leider ein Problem, welches hier perfekt hineinpasst: nach dem Hochfahren des Rechners kommt erst die Fehlermeldung "rundll32.exe not running", Programme lassen sich dann nicht mehr starten. Nach dem Doppelklick öffnet sich immer das Fenster "öfnnen mit" aber selbst dann starten manche Programme nicht. Kann mir bitte jemand behilflich sein? Hijack This hat meinen Rechner schon gescannt. Vielen Dank Willi Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:47:20, on 06.08.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\svchast.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\cFosSpeed\spd.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PSIService.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\AIM6\aim6.exe C:\Programme\AIM6\aolsoftware.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe tapi.nfo beforeglav F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O1 - Hosts: 85.214.143.164 status.wow-europe.com O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: ICQSys (IE PlugIn) - {F54AF7DE-6038-4026-8433-CC30E3F17212} - C:\WINDOWS\system32\dddesot.dll (file missing) O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia\Common\e03500ea1.dll"" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: NETGEAR WG111v3 Setup-Assistent.lnk = C:\Programme\NETGEAR\WG111v3\WG111v3.exe O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ? O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - D:\monki.dll (file missing) O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: AntipyPro_12 (AntipPro2009_12) - Unknown owner - C:\WINDOWS\svchast.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe -- End of file - 6143 bytes |
|
|
||
07.08.2009, 18:06
Moderator
Beiträge: 5694 |
#51
>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: C:\WINDOWS\svchast.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Arbeite nun folgendes ab und poste die Logs: http://board.protecus.de/t23187.htm Gruss Swiss |
|
|
||
09.08.2009, 19:51
...neu hier
Beiträge: 2 |
#52
Hallo Swiss,
Anti-Malware hat es gerichtet, das Problem ist gelöst und der Rechner arbeitet wieder einwandfrei. Vielen Dank und viele Grüße aus dem sonnigen Baesweiler! Willi |
|
|
||
09.08.2009, 23:46
Moderator
Beiträge: 5694 |
#53
Aber denke daran, dass auch Malwarebytes nicht ein Allerweltsprogramm ist. Poste denoch die restlichen Logs auch das von Malwarebytes.
Gruss Swiss |
|
|
||
14.08.2009, 17:50
Member
Beiträge: 16 |
#54
also hy habe jetzt mal interessiert diesen beitrag gelesen es handelt sich bei mir um das selbe problem nur dazu wenn ich den arbeitsplatz öfnen die meldung erscheind C:\windows\explorer.exe anwendung nicht gefunden!!
ich hab jetzt zwar n paar wege gefunden alles zu nutzen was ich will aber das problem stört mich habe jetzt mal dieses hijack auch laufen lassen und sehe nicht ganz durch!! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:47:47, on 14.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\netdde.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\clipsrv.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\imapi.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\System32\dmadmin.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Huawei technologies\Mobile Connect\Mobile Connect.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD224AB-0AD2-4170-9405-4D2EAA14127E}: NameServer = 194.48.139.254 194.48.124.202 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing) O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe -- End of file - 2620 bytes i schätz das es an der zeile liegt !! O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing) ich weiß halt nicht ob und wie ich das jetz in gang bekomme!! hilfe wär super nett und i wär dankbar für jeden tipp!!! mfg saap |
|
|
||
14.08.2009, 18:20
Member
Beiträge: 16 |
#55
(schluck) also so wie es ausschaut muss ich hier um das allein zu kappieren 2 tag und 2 nächte vollgepumpt mit muntermachern wie kaffee,redbull und co. usw! pauken n bissal seh ich durch doch dann kommt n text der haut wieder alles übereinander und aus ist!!!xD also riesen respeckt vor euch die hier fleisig lösungen reinschreiben!!!
|
|
|
||
14.08.2009, 21:27
Member
Beiträge: 4730 |
#56
Leider scheint Dein HJT-Log nicht komplett zu sein (da das schon öfter mal vorkam, schätze ich, dass entweder eine Malware HJT irgendwo blockiert oder das HJT ein paar Bugs hat).
Führe Schritt 3 durch (siehe http://board.protecus.de/t23188.htm) und anschließend einen Scan mit ComboFix. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
14.08.2009, 21:40
Member
Beiträge: 3716 |
#57
oder er hatt es einfach nicht komplett kopiert, wovon ich ausgehe, unten fehlt ein stück.
|
|
|
||
15.08.2009, 14:15
Member
Beiträge: 16 |
#58
ihr seitz echt spitze ein anderes forum das sich netzwelt nennt meint ich hab keine ander cahnc als alles neu zu booten!! ich geb euch noch denn einen log und lasse noch combofix laufen!!! aber einen riesigen dankan euch es läuft wieder!!!! dumen hoch
|
|
|
||
15.08.2009, 14:48
Member
Beiträge: 3716 |
#59
ok, je nach dem wie die logs aussehen, werden weitere Schritte nötig sein.
|
|
|
||
15.08.2009, 14:57
Member
Beiträge: 16 |
#60
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2629 Windows 5.1.2600 Service Pack 3 15.08.2009 13:50:08 mbam-log-2009-08-15 (13-50-08).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 93646 Laufzeit: 13 minute(s), 27 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Schedule\ImagePath (Hijack.Service) -> Bad: (C:\WINDOWS\system32\drivers\spools.exe) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\rundll32.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\mythos\Desktop\EXPLORER.EXE (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. ComboFix 09-08-10.06 - mythos 15.08.2009 14:25.1.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1014.625 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\mythos\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Installer\14c678.msi c:\windows\Installer\14c681.msi . ((((((((((((((((((((((( Dateien erstellt von 2009-07-15 bis 2009-08-15 )))))))))))))))))))))))))))))) . 2009-08-15 12:03 . 2009-08-15 12:04 -------- d-----w- c:\windows\LastGood 2009-08-15 11:07 . 2009-08-15 11:07 -------- d-----w- c:\dokume~1\mythos\ANWEND~1\Malwarebytes 2009-08-15 11:07 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-15 11:07 . 2009-08-15 11:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-08-15 11:07 . 2009-08-15 11:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-08-15 11:07 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-08-14 17:28 . 2009-08-14 17:28 -------- d-----w- c:\dokumente und einstellungen\mythos\chris 2009-08-14 13:58 . 2009-08-14 14:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-08-14 13:58 . 2009-08-14 13:58 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-08-14 13:57 . 2009-08-14 13:58 -------- d-----w- C:\Neuer Ordner 2009-08-14 13:20 . 2009-08-14 13:20 -------- d-----w- c:\programme\Trend Micro 2009-08-13 16:50 . 2009-08-13 17:03 -------- d-----w- c:\windows\system32\drivers\rundll32 2009-08-13 16:48 . 2009-08-13 16:48 -------- d-----w- c:\windows\EXPLORER 2009-08-13 12:57 . 2009-08-13 12:57 -------- d-----w- c:\dokumente und einstellungen\chris 2009-08-13 12:21 . 2008-04-14 12:00 2560 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\USMT\iconlib.dll 2009-08-08 00:17 . 2008-11-20 22:56 1700352 ----a-r- c:\dokumente und einstellungen\All Users\Anwendungsdaten\OfficeGuardian\gdiplus.dll 2009-08-06 23:03 . 2008-04-14 12:00 19968 ----a-w- c:\windows\system32\lprmon.dll 2009-08-06 23:03 . 2008-04-14 12:00 19968 ----a-w- c:\windows\system32\dllcache\lprmon.dll 2009-08-06 23:02 . 2008-04-14 12:00 23040 ----a-w- c:\windows\system32\lpdsvc.dll 2009-08-06 23:02 . 2008-04-14 12:00 23040 ----a-w- c:\windows\system32\dllcache\lpdsvc.dll 2009-08-02 19:29 . 2009-02-06 16:08 55152 ----a-w- c:\windows\system32\drivers\fssfltr_tdi.sys 2009-07-31 18:03 . 2009-07-31 18:03 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache 2009-07-31 17:50 . 2009-07-31 17:50 -------- d-sh--w- c:\dokumente und einstellungen\mythos\IECompatCache 2009-07-31 17:49 . 2009-07-31 17:49 -------- d-sh--w- c:\dokumente und einstellungen\mythos\PrivacIE 2009-07-31 17:48 . 2009-07-31 17:48 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-07-31 17:42 . 2009-07-31 17:42 -------- d-sh--w- c:\dokumente und einstellungen\mythos\IETldCache 2009-07-31 16:14 . 2009-07-31 16:15 -------- d-----w- c:\windows\ie8updates 2009-07-31 15:58 . 2009-07-31 16:10 -------- dc-h--w- c:\windows\ie8 2009-07-31 15:56 . 2009-07-31 15:56 -------- d-----w- c:\programme\Microsoft Silverlight 2009-07-31 15:11 . 2009-07-31 16:18 -------- d--h--w- c:\windows\msdownld.tmp 2009-07-31 15:02 . 2009-07-03 16:55 246272 ------w- c:\windows\system32\dllcache\ieproxy.dll 2009-07-31 15:02 . 2009-07-03 16:55 12800 ------w- c:\windows\system32\dllcache\xpshims.dll 2009-07-31 15:01 . 2009-07-01 07:08 101376 ------w- c:\windows\system32\dllcache\iecompat.dll 2009-07-24 10:58 . 2009-07-24 10:58 59496 ----a-w- c:\windows\system32\zlib.dll 2009-07-24 10:58 . 2009-07-24 10:58 37992 ----a-w- c:\windows\system32\gzip.dll 2009-07-24 10:55 . 2009-07-24 10:55 255632 ----a-w- c:\windows\system32\aloaha_pkcs11.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-15 12:13 . 2009-05-15 16:12 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-15 11:52 . 2009-01-16 15:48 12 ----a-w- c:\windows\bthservsdp.dat 2009-08-14 13:08 . 2008-09-24 01:53 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\PostBuild.exe 2009-08-13 12:57 . 2009-01-16 20:59 -------- d-----w- c:\dokume~1\mythos\ANWEND~1\uTorrent 2009-08-11 21:53 . 2008-09-24 01:56 33792 ----a-w- c:\windows\system32\rundll32.exe 2009-08-10 19:21 . 2008-09-24 01:56 73520 ----a-w- c:\windows\system32\perfc007.dat 2009-08-10 19:21 . 2008-09-24 01:56 374318 ----a-w- c:\windows\system32\perfh007.dat 2009-08-08 00:21 . 2009-08-08 00:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\OfficeGuardian 2009-08-02 19:30 . 2009-01-16 15:08 30928 ----a-w- c:\dokumente und einstellungen\mythos\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-08-02 19:29 . 2008-07-13 13:05 -------- d-----w- c:\programme\Windows Live 2009-07-30 15:27 . 2009-05-10 10:30 -------- d-----w- c:\dokume~1\mythos\ANWEND~1\dvdcss 2009-07-03 16:55 . 2008-09-24 01:56 915456 ----a-w- c:\windows\system32\wininet.dll 2009-06-17 20:01 . 2008-09-24 01:53 -------- d---a-w- c:\programme\Windows Desktop Search 2009-05-24 22:24 . 2008-09-24 01:56 350208 ----a-w- c:\windows\system32\mssph.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408] "WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2008-04-14 172544] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "gusvc"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\VDOWNLOADER\\VDownloader.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"= "c:\\Programme\\NetMeeting\\conf.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\WINDOWS\\system32\\mmc.exe"= "c:\\WINDOWS\\system32\\rtcshare.exe"= R0 phmcd;phmcd;c:\windows\system32\drivers\phmcd.sys [08.04.2008 20:41 44696] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.05.2009 18:12 108289] R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [02.08.2009 21:29 55152] R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [24.09.2008 03:57 153600] S3 fsssvc;Windows Live Family Safety;c:\programme\Windows Live\Family Safety\fsssvc.exe [06.02.2009 18:08 533360] S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [12.05.2009 20:51 467456] S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [12.05.2009 20:51 15488] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{C3CD744D-2FAE-4640-8297-16B5DA423104} - (no file) WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - c:\programme\Ask.com\GenericAskToolbar.dll ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-15 14:33 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(492) c:\windows\system32\igfxdev.dll . Zeit der Fertigstellung: 2009-08-15 14:36 ComboFix-quarantined-files.txt 2009-08-15 12:36 Vor Suchlauf: 13 Verzeichnis(se), 35.001.331.712 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 35.506.008.064 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 131 --- E O F --- 2009-06-17 20:02 |
|
|
||
Hier das neue Log aus Combofix:
Zitat
Sophos:Zitat
und der Scan mit Bitdefender:Zitat
Grüßefelk