Expertenmeinung: RunDLL: Fehler beim laden von...kommt immer bei Systemstart |
||
---|---|---|
#0
| ||
04.08.2008, 12:24
...neu hier
Beiträge: 3 |
||
|
||
04.08.2008, 12:31
Moderator
Beiträge: 7805 |
#2
Du musst eine neue Version von Combofix herunterladen, da wurde ein Bug im Zusammenhang mit Vista beseitigt.
Lasse alle Funde von MBAM beseitigen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.08.2008, 12:41
...neu hier
Themenstarter Beiträge: 3 |
#3
hab ich schon (Funde von mbam gelöscht)...ich habe keine neuere version gefunden von combofix...http://remove-malware.com/anti-malware-howto/combofix-and-vista/ laut der homepage ist es eher schädlich als helfend....falls du eine andere version hast wäre es cool, wenn du sie mir zukommen lassen könntest
Dieser Beitrag wurde am 04.08.2008 um 12:53 Uhr von Fr3ddy editiert.
|
|
|
||
04.08.2008, 13:00
Moderator
Beiträge: 7805 |
#4
Naja, die Meldung aus deinem Link kannst du gekonnt ignorieren, bzw auf XP erweitern.
Neuste Version muesste ver_08-08-03.05 sein. Zu beziehen ueber den normalen Bleepingcomputer link __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.08.2008, 13:15
...neu hier
Themenstarter Beiträge: 3 |
#5
so...ich hab mir die version von der bleepingcomputer seite gezogen und siehe da...es hat geklappt...hier also das log.txt:
ComboFix 08-08-03.05 - Helge 2008-08-04 13:08:59.1 - NTFSx86 ausgeführt von:: C:\Users\Helge\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2008-07-04 bis 2008-08-04 )))))))))))))))))))))))))))))) . 2008-08-04 10:54 . 2008-08-04 10:54 <DIR> d-------- C:\Users\Helge\AppData\Roaming\Malwarebytes 2008-08-04 10:53 . 2008-08-04 10:53 <DIR> d-------- C:\Users\All Users\Malwarebytes 2008-08-04 10:53 . 2008-08-04 10:53 <DIR> d-------- C:\ProgramData\Malwarebytes 2008-08-04 10:53 . 2008-08-04 10:53 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-04 10:53 . 2008-07-30 20:07 38,472 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys 2008-08-04 10:53 . 2008-07-30 20:07 17,144 --a------ C:\Windows\System32\drivers\mbam.sys 2008-08-04 10:44 . 2008-08-04 10:44 <DIR> d-------- C:\Program Files\Trend Micro 2008-08-03 13:23 . 2008-08-03 13:24 <DIR> d-------- C:\Program Files\DivX 2008-07-22 02:42 . 2008-07-22 02:42 42,320 --a------ C:\Windows\System32\xfcodec.dll 2008-07-11 16:11 . 2008-08-03 10:50 <DIR> d-------- C:\Users\Helge\dwhelper 2008-07-06 19:39 . 2008-07-10 11:15 <DIR> d-------- C:\Program Files\Java 2008-07-06 19:38 . 2008-07-06 19:38 <DIR> d-------- C:\Program Files\Common Files\Java 2008-07-04 16:23 . 2008-07-04 16:23 <DIR> d-------- C:\Windows\PCHEALTH 2008-07-04 16:23 . 2008-07-04 16:23 <DIR> d-------- C:\Program Files\Microsoft.NET 2008-07-04 16:21 . 2008-07-04 16:21 <DIR> dr-h----- C:\MSOCache . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-04 11:07 --------- d-----w C:\Users\Helge\AppData\Roaming\Xfire 2008-08-04 10:55 136,888 ----a-w C:\Windows\system32\drivers\PnkBstrK.sys 2008-08-04 10:55 111,928 ----a-w C:\Windows\System32\PnkBstrB.exe 2008-08-03 07:22 --------- d-----w C:\ProgramData\Xfire 2008-08-02 18:10 --------- d-----w C:\Program Files\Xfire 2008-07-17 18:05 --------- d-----w C:\Program Files\Lx_cats 2008-07-12 19:43 --------- d-----w C:\Users\Helge\AppData\Roaming\Hamachi 2008-07-12 18:25 --------- d-----w C:\Users\Helge\AppData\Roaming\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien 2008-07-10 09:05 174 --sha-w C:\Program Files\desktop.ini 2008-07-09 17:59 --------- d-----w C:\Program Files\Windows Mail 2008-07-04 14:34 --------- d-----w C:\ProgramData\Microsoft Help 2008-07-04 14:24 --------- d-----w C:\Program Files\Microsoft Works 2008-07-01 17:05 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-07-01 17:05 --------- d-----w C:\Users\Helge\AppData\Roaming\ICQ 2008-07-01 17:05 --------- d-----w C:\Program Files\ICQLite 2008-07-01 17:05 --------- d-----w C:\Program Files\ICQ6 2008-06-28 10:46 --------- d-----w C:\Program Files\Unlocker 2008-06-27 16:43 --------- d-----w C:\ProgramData\Media Center Programs 2008-06-27 16:30 --------- d-----w C:\Program Files\THQ 2008-06-27 15:41 --------- d-----w C:\Program Files\Activision 2008-06-26 00:34 7,964,672 ----a-w C:\Windows\System32\NlsLexicons0024.dll 2008-06-26 00:33 9,892,864 ----a-w C:\Windows\System32\NlsLexicons000a.dll 2008-06-24 17:08 --------- d-----w C:\Program Files\Electronic Arts 2008-06-21 18:45 --------- d-----w C:\Users\Helge\AppData\Roaming\Meine Die Schlacht um Mittelerde™ II-Dateien 2008-06-21 18:43 --------- d-----w C:\Program Files\Callofduty2 2008-06-19 12:58 --------- d-----w C:\Users\Helge\AppData\Roaming\Skype 2008-06-19 12:39 56 ---ha-w C:\Users\All Users\ezsidmv.dat 2008-06-19 12:39 56 ---ha-w C:\ProgramData\ezsidmv.dat 2008-06-19 12:39 --------- d-----w C:\Users\Helge\AppData\Roaming\skypePM 2008-06-19 12:37 --------- d-----w C:\ProgramData\Skype 2008-06-19 12:37 --------- d-----w C:\Program Files\Skype 2008-06-19 12:37 --------- d-----w C:\Program Files\Common Files\Skype 2008-06-19 11:40 25,280 ----a-w C:\Windows\system32\drivers\hamachi.sys 2008-06-19 11:40 --------- d-----w C:\Program Files\Hamachi 2008-06-18 17:52 161,096 ----a-w C:\Windows\System32\DivXCodecVersionChecker.exe 2008-06-16 17:03 --------- d-----w C:\Program Files\PDFCreator 2008-06-16 16:55 10,015,552 ----a-w C:\Windows\System32\~.tmp 2008-06-15 16:52 --------- d-----w C:\Users\Helge\AppData\Roaming\teamspeak2 2008-06-11 00:07 524,288 ----a-w C:\Windows\System32\DivXsm.exe 2008-06-11 00:07 3,596,288 ----a-w C:\Windows\System32\qt-dx331.dll 2008-06-11 00:04 200,704 ----a-w C:\Windows\System32\ssldivx.dll 2008-06-11 00:04 1,044,480 ----a-w C:\Windows\System32\libdivx.dll 2008-06-10 17:28 --------- d-----w C:\Program Files\Ubisoft 2008-06-10 17:15 --------- d-----w C:\ProgramData\Ubisoft 2008-06-10 17:14 22,328 ----a-w C:\Users\Helge\AppData\Roaming\PnkBstrK.sys 2008-06-10 17:14 2,337,865 ----a-w C:\Windows\System32\pbsvc.exe 2008-06-10 12:17 --------- d-----w C:\Program Files\Common Files\Adobe 2008-06-07 11:47 --------- d-----w C:\Program Files\FRITZ!DSL 2008-06-07 11:28 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard 2008-06-07 11:28 --------- d-----w C:\Program Files\Common Files\AVM 2008-05-22 22:18 12,288 ----a-w C:\Windows\System32\DivXWMPExtType.dll 2008-05-10 03:30 14,848 ----a-w C:\Windows\System32\wshrm.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-14 01:29 1232896] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112] "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 21:46 153136] "LXCGCATS"="C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [2007-02-22 05:20 73728] "EzPrint"="C:\Program Files\Lexmark 2300 Series\ezprint.exe" [2007-04-29 22:57 103344] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 22:29 266497] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] "RtHDVCpl"="RtHDVCpl.exe" [2007-12-17 12:02 4718592 C:\Windows\RtHDVCpl.exe] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-06-10 14:18:40 110592] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.XFR1"= xfcodec.dll [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^FRITZ!DSL Startcenter.lnk] path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FRITZ!DSL Startcenter.lnk backup=C:\Windows\pss\FRITZ!DSL Startcenter.lnk.CommonStartup backupExtension=.CommonStartup [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^PDFCreator.lnk] path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PDFCreator.lnk backup=C:\Windows\pss\PDFCreator.lnk.CommonStartup backupExtension=.CommonStartup [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WinManager.lnk] path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinManager.lnk backup=C:\Windows\pss\WinManager.lnk.CommonStartup backupExtension=.CommonStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient] -ra------ 2006-02-23 01:04 1499136 C:\Program Files\avmwlanstick\WLanGUI.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcgmon.exe] --a------ 2007-04-29 22:56 205744 C:\Program Files\Lexmark 2300 Series\lxcgmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector] --a------ 2007-05-02 08:08 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck] --a------ 2003-11-10 16:06 406016 C:\Windows\System32\PSDrvCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant] --a------ 2008-05-02 06:15 15872 C:\Program Files\Unlocker\UnlockerAssistant.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{A8B15A2F-D767-43CE-B487-7439910D2CE5}"= UDP:C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe "{8FF36A1D-6B95-4DFF-A62D-AB0498BE3D65}"= TCP:C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe "{C5A1E28B-7C64-4A4E-AC13-081DE6208008}"= UDP:C:\Windows\System32\lxcgcoms.exe:Lexmark Communications System "{A99A3214-33A4-46C9-A387-1938572E2C2C}"= TCP:C:\Windows\System32\lxcgcoms.exe:Lexmark Communications System "{808E748D-28C2-48D7-96AB-AF7D5A686775}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxcgpswx.exerinter Status Window "{8457F3F3-439E-412A-B04F-CB29B651D62E}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxcgpswx.exerinter Status Window "{D73FBE99-DCAF-48F2-A2BC-CB8FEC2238DB}"= UDP:C:\Program Files\Sierra Entertainment\Empire Earth III\EE3.exe:Empire Earth III "{3874BC70-219E-44A5-AAD4-76D770C3A658}"= TCP:C:\Program Files\Sierra Entertainment\Empire Earth III\EE3.exe:Empire Earth III "TCP Query User{80939EE4-337A-42E3-BE43-DF58B9107C46}C:\\program files\\icqlite\\icqlite.exe"= UDP:C:\program files\icqlite\icqlite.exe:ICQLite "UDP Query User{ECDC0E64-1DB9-4C36-947B-F5C78BFFE038}C:\\program files\\icqlite\\icqlite.exe"= TCP:C:\program files\icqlite\icqlite.exe:ICQLite "TCP Query User{024F8B2C-6E42-4942-BD57-96D38CDA2F14}C:\\program files\\xfire\\xfire.exe"= UDP:C:\program files\xfire\xfire.exe:Xfire "UDP Query User{EBFEEC63-6D95-4546-BAE3-935BEDDA237A}C:\\program files\\xfire\\xfire.exe"= TCP:C:\program files\xfire\xfire.exe:Xfire "{FCE19094-94C6-4744-B33C-5C75370D25BB}"= UDP:C:\Windows\System32\PnkBstrA.exenkBstrA "{07E8AD1C-060B-4282-8F1B-B2A9688625CF}"= TCP:C:\Windows\System32\PnkBstrA.exenkBstrA "{1AA42C1D-DBB8-4009-8500-39D38D6BA2F7}"= UDP:C:\Windows\System32\PnkBstrB.exenkBstrB "{46B61943-628D-43CD-B25C-FF774B5C48A6}"= TCP:C:\Windows\System32\PnkBstrB.exenkBstrB "{49F6FB24-5F46-47B8-9B91-E755F54F13AC}"= TCP:28962unkbuster "TCP Query User{A25DED7B-938C-4FA0-AA90-57AB71053368}C:\\program files\\callofduty2\\cod2mp_s.exe"= UDP:C:\program files\callofduty2\cod2mp_s.exe:CoD2MP_s "UDP Query User{774D1CC5-2F22-406B-B323-2FAE2B5D44A9}C:\\program files\\callofduty2\\cod2mp_s.exe"= TCP:C:\program files\callofduty2\cod2mp_s.exe:CoD2MP_s "TCP Query User{E848C838-9617-4DC0-9691-D4E89B0BA6D4}C:\\users\\helge\\desktop\\cryptload_1.0.9\\routerclient.exe"= UDP:C:\users\helge\desktop\cryptload_1.0.9\routerclient.exe:routerclient.exe "UDP Query User{03EA4855-6AB7-4C72-8A1E-64C2E946EA26}C:\\users\\helge\\desktop\\cryptload_1.0.9\\routerclient.exe"= TCP:C:\users\helge\desktop\cryptload_1.0.9\routerclient.exe:routerclient.exe "{587810BA-CC4A-4700-B4FE-36A91F92A161}"= UDP:C:\Program Files\Microsoft Games\Age of Empires III\age3y.exe:Age of Empires III - The Asian Dynasties "{A9686DB0-310E-4EE4-8267-049C7CE267F0}"= TCP:C:\Program Files\Microsoft Games\Age of Empires III\age3y.exe:Age of Empires III - The Asian Dynasties "{9B88DFD8-C027-4B35-A8F4-32FA1C35C4BD}"= UDP:C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe:Age of Empires III - The WarChiefs "{3C1A820E-4B38-49B2-AC9F-A7E63E83F05C}"= TCP:C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe:Age of Empires III - The WarChiefs "{ADC471CE-5778-4F92-AFE3-639AA58CFFAD}"= UDP:C:\Program Files\FRITZ!DSL\IGDCTRL.EXE:AVM FRITZ!DSL - igdctrl.exe "{B20576B1-6FD2-4D71-A34D-0D203F38E06C}"= TCP:C:\Program Files\FRITZ!DSL\IGDCTRL.EXE:AVM FRITZ!DSL - igdctrl.exe "{F50D25D9-1883-4C18-971A-B07234C01F00}"= UDP:C:\Program Files\FRITZ!DSL\FBOXUPD.EXE:AVM FRITZ!DSL - fboxupd.exe "{514E4D96-066A-409A-AF40-4ED42772EB4B}"= TCP:C:\Program Files\FRITZ!DSL\FBOXUPD.EXE:AVM FRITZ!DSL - fboxupd.exe "{FAE8836C-9336-466D-937E-C9958D2EAB74}"= UDP:C:\Program Files\FRITZ!DSL\WebwaIgd.exe:AVM FRITZ!DSL - webwaigd.exe "{B12B080A-5B61-406C-8324-05872E625FE7}"= TCP:C:\Program Files\FRITZ!DSL\WebwaIgd.exe:AVM FRITZ!DSL - webwaigd.exe "{E2A74F1F-312F-4EA5-B61F-D2853236B41D}"= UDP:C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Game.exe:Tom Clancy's Rainbow Six Vegas 2 "{69A7A4AD-A668-4C2C-9A20-EFD88276A962}"= TCP:C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Game.exe:Tom Clancy's Rainbow Six Vegas 2 "{63BCB57E-F2EC-45EE-8E02-82983CEEFFB6}"= UDP:C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Launcher.exe:Tom Clancy's Rainbow Six Vegas 2 Update "{AE9E3250-7078-4B32-B39D-4CE3F6DF1F01}"= TCP:C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Launcher.exe:Tom Clancy's Rainbow Six Vegas 2 Update "TCP Query User{5C84A056-F0FF-46D0-BB2E-C854310F610D}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer "UDP Query User{E5DD6970-BAD9-4A69-B951-3DD19E1CC23E}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer "{B74240C6-F2A9-4D83-AFF0-D33D549DB0A6}"= C:\Program Files\Skype\Phone\Skype.exe:Skype "TCP Query User{2BCFDEC3-33B7-4F37-83DA-7A9AEE4EC55D}C:\\program files\\electronic arts\\die schlacht um mittelerde ii\\game.dat"= UDP:C:\program files\electronic arts\die schlacht um mittelerde ii\game.dat:The Battle for Middle-earth™ II "UDP Query User{23D80907-B20D-464F-BFAD-D3E92F76B28A}C:\\program files\\electronic arts\\die schlacht um mittelerde ii\\game.dat"= TCP:C:\program files\electronic arts\die schlacht um mittelerde ii\game.dat:The Battle for Middle-earth™ II "{3BA8B8B5-B34D-4FF7-A35E-7973A997DED6}"= UDP:C:\Program Files\Electronic Arts\Aufstieg des Hexenkönigs\game.dater Herr der Ringe™, Aufstieg des Hexenkönigs™ "{D02D7A55-FEA4-4749-B883-B7951ACC8F2A}"= TCP:C:\Program Files\Electronic Arts\Aufstieg des Hexenkönigs\game.dater Herr der Ringe™, Aufstieg des Hexenkönigs™ "{EF61F30E-80F3-4423-9762-C984EFCBA43B}"= UDP:C:\Program Files\THQ\Company of Heroes\RelicCOH.exe:Company of Heroes - Opposing Fronts "{B13165D1-4F25-4B84-B18E-13E8608C8375}"= TCP:C:\Program Files\THQ\Company of Heroes\RelicCOH.exe:Company of Heroes - Opposing Fronts "TCP Query User{A2BD0A18-4B02-4E3A-B1AF-F56DB1281283}C:\\users\\helge\\desktop\\blobby\\volley.exe"= UDP:C:\users\helge\desktop\blobby\volley.exe:volley.exe "UDP Query User{50817236-1417-4212-879D-AD3BD7126067}C:\\users\\helge\\desktop\\blobby\\volley.exe"= TCP:C:\users\helge\desktop\blobby\volley.exe:volley.exe "{231E8CA7-D03D-4226-9841-FFAA7B777708}"= UDP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM) "{A924CD6D-357C-49F1-B09D-B23E7B4B2BA9}"= TCP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM) "TCP Query User{7A2A3C04-0D5D-491A-BD09-6EC7271F387A}C:\\program files\\icq6\\icq.exe"= UDP:C:\program files\icq6\icq.exe:ICQ Library "UDP Query User{ED076819-0BA4-485B-A4AC-A5C01D2ED2EC}C:\\program files\\icq6\\icq.exe"= TCP:C:\program files\icq6\icq.exe:ICQ Library "TCP Query User{AAEFC46E-F745-4F78-9C51-78125B3B0D70}C:\\program files\\callofduty2\\cod2mp_s.exe"= UDP:C:\program files\callofduty2\cod2mp_s.exe:CoD2MP_s "UDP Query User{E9C364FF-330F-4325-9F88-2A15D2CC5071}C:\\program files\\callofduty2\\cod2mp_s.exe"= TCP:C:\program files\callofduty2\cod2mp_s.exe:CoD2MP_s "TCP Query User{64F9F4E9-D94B-4975-836F-B21085788003}C:\\program files\\electronic arts\\aufstieg des hexenkönigs\\game.dat"= UDP:C:\program files\electronic arts\aufstieg des hexenkönigs\game.dat:The Battle for Middle-earth™ II "UDP Query User{9C5DF800-0E77-4E03-A204-E9A0B7F9E350}C:\\program files\\electronic arts\\aufstieg des hexenkönigs\\game.dat"= TCP:C:\program files\electronic arts\aufstieg des hexenkönigs\game.dat:The Battle for Middle-earth™ II "TCP Query User{F38FB64A-4F00-41B1-A3DD-A1BDE507E21F}C:\\program files\\ea sports\\fifa 08\\fifa08.exe"= UDP:C:\program files\ea sports\fifa 08\fifa08.exe:FIFA08 "UDP Query User{34FD5CCD-B75F-4B85-BE43-6076319F054A}C:\\program files\\ea sports\\fifa 08\\fifa08.exe"= TCP:C:\program files\ea sports\fifa 08\fifa08.exe:FIFA08 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R0 AtiPcie;ATI PCI Express (3GIO) Filter;C:\Windows\system32\DRIVERS\AtiPcie.sys [2006-10-30 11:22] R2 FSCLBaseUpdaterService;FSCLBaseUpdaterService;C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe [2007-06-04 15:20] R2 IGDCTRL;AVM IGD CTRL Service;C:\Program Files\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 10:14] R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler;C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 11:52] R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-11-16 23:09] R3 FWLANUSB;AVM FRITZ!WLAN;C:\Windows\system32\DRIVERS\fwlanusb.sys [2006-02-23 01:04] S3 UDTT2BDA;DTV-DVB USB2 DVB-T receiver;C:\Windows\system32\Drivers\UDTT2BDA.sys [2007-06-26 00:00] S3 UDTT2HID;UDTT2HID - USB 2.0 HID Driver;C:\Windows\system32\drivers\UDTT2HID.sys [2007-06-26 00:00] S4 nvrd32;NVIDIA nForce RAID Driver;C:\Windows\system32\drivers\nvrd32.sys [2007-07-02 17:37] *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners 2008-08-04 C:\Windows\Tasks\User_Feed_Synchronization-{AD3E0EB0-9062-4D8D-9E27-FBE78752831F}.job - C:\Windows\system32\msfeedssync.exe [2006-11-02 11:45] . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-ALUAlert - C:\Program Files\Symantec\LiveUpdate\ALuNotify.exe . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Users\Helge\AppData\Roaming\Mozilla\Firefox\Profiles\6zid8tv2.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ig ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-04 13:12:00 Windows 6.0.6000 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run LXCGCATS = rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? Scanne versteckte Dateien... C:\Windows\TEMP\TMP00000070227E400304825D4E Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . Zeit der Fertigstellung: 2008-08-04 13:13:05 ComboFix-quarantined-files.txt 2008-08-04 11:13:01 Pre-Run: 22 Verzeichnis(se), 168,721,793,024 Bytes frei Post-Run: 30 Verzeichnis(se), 169,096,798,208 Bytes frei 224 --- E O F --- 2008-08-02 18:09:54 ist jetzt wieder alles in Ordnung? = jo isses Dieser Beitrag wurde am 04.08.2008 um 21:35 Uhr von Fr3ddy editiert.
|
|
|
||
Hijackthis.log hab ich hochgeladen und es wurden 2 Dateien als schädlich angezeigt....heir der Report:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:45:31, on 04.08.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {285E615E-7EB8-41A8-BEA6-7914B92FF497} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [recinfo933] c:\RecInfo\RecInfo.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\byXNhffc.dll,#1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FSCLBaseUpdaterService - Unknown owner - C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: lxcg_device - - C:\Windows\system32\lxcgcoms.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
--
End of file - 7138 bytes
als nächstes habe ich bei Hijackthis "do a system scan only" gemacht und vor die beiden genannten dateien ein Häkchen gemacht und fix checked angeklickt.
ich habe den Pc nicht neugestertet vor dem anschließenden Malwarebytes scan (schlimm?) auf jeden fall ist das hier dabei rausgekommen:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1022
Windows 6.0.6000
11:52:55 04.08.2008
mbam-log-8-4-2008 (11-52-50).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 143601
Laufzeit: 55 minute(s), 49 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\gxvpsafm.bfpb (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\gxvpsafm.toolbar.1 (Trojan.FakeAlert) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Windows\ekld.exe (Trojan.FakeAlert) -> No action taken.
C:\Windows\tovafrnm.exe (Trojan.FakeAlert) -> No action taken.
hab die infizierten dateien über das programm entfernen lassen (die 7 stück)
Anschließend hab ich die combofix.exe laufen lassen, allerdings zeigt mir windows immer nach 10 secs an dass der "Windowsbefehlsprozess" (also combofix nehm ich an) nicht mehr funktioniert....und anch weiteren 10 secs schließt sich das prog ohne was verändert zu haben...das einzige was da stand war "bereitet sich auf suchlauf [oder sowas] vor" und "dieser prozess dauert normalerweise nicht länger als 10 min bei starkverseuchten Pcs kann sich dies leicht verdoppeln".
Betriebssystem:
Windows vista (32-Bit) [weiß nicht obs damit was zu tun hat das combofix net funktioniert...bei vista funktioniert ja allerhand net so prächtig wie bei xp...]
jez wüsste ich gern ob ich nochwas machen muss oder ob die erwähnte Vorgehensweise ausreichend ist, da die fehlermeldung bei windowsstart nicht mehr erscheint.
schonmal danke im voraus