fixwareout wurde fündig = Dumme Frage?

#0
22.10.2007, 11:31
Member

Beiträge: 38
#1 Liebes Forum,

ich hatte am etwa 11.10. die angefügte Frage gestellt, es hatte aber niemand etwas dazu geantwortet.

Vielleicht war es eine dumme Frage - ich bin Laie, da kann das schon mal vorkommen. Mir macht sie jedoch einige Sorgen.

Die Auskunft, dass es eine dumme Frage war, würde mir auch schon weiterhelfen :-)

Vielen Dank!

(ich bin übrigens nicht beleidigt, man hat mir in diesem Forum schon sehr viel geholfen).

trimalcio

Frage vom 11.10.2007:

Hallo,

ich habe nach einem Virenverdacht Fixwareout laufen lassen. Das Programm hat nun (anders als sonst) auch etwas gefunden und gelöscht. Nun befürchte ich, dass das nicht alles war.

Ich poste unten den Report von fixwareout sowie den aktuellen hijackthis log.

Wäre sehr dankbar, wenn mir jemand helfen könnte!

trimalcio


1. Report von fixwareout:

Username "......" - 11.10.2007 17:36:34 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion "ydosc" Value deleted
HKCR\CLSID\{7C06A45C-17A4-4929-81AC-6C1AF5408F22}\_h\4 Deleted.
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
"OfficeScanNT Monitor"="\"d:\\Programme\\Trend Micro\\OfficeScan Client\\pccntmon.exe\" -HideWindow"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"
"Adobe Reader Speed Launcher"="\"C:\\Programme\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
"PCSuiteTrayApplication"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -startup"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~



2. Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:55, on 11.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Datenbanken\Haufe\iDesk\iDeskService\iDeskService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\lotus\notes\ntmulti.exe
d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
D:\Datenbanken\Haufe\iDesk\iDeskService\ideskpython.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\QO46A0.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Messenger\msmsgs.exe
F:\Verwaltung_DB\Tenovis\Dialit32.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "d:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Verknüpfung mit Dialit32.lnk = Verwaltung_DB\Tenovis\Dialit32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\Software\..\Telephony: DomainName = lvn.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 192.168.250.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 192.168.250.9
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lvn.local
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Haufe iDesk-Service in D:\Datenbanken\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - D:\Datenbanken\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

--
End of file - 5763 bytes
Seitenanfang Seitenende
22.10.2007, 13:36
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

ein entschiedenes jaein:
C:\WINDOWS\TEMP\QO46A0.EXE
Kann ich nicht interpretieren, Programme die aus dem Temp-Ordner laufen sind generell verdächtig....

Das hier sagt mir allerdings nichts:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion "ydosc" Value deleted
HKCR\CLSID\{7C06A45C-17A4-4929-81AC-6C1AF5408F22}\_h\4 Deleted.



Chris
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: