doc watson + explorer + langsamer rechner |
||
---|---|---|
#0
| ||
05.10.2008, 13:44
Member
Beiträge: 16 |
||
|
||
05.10.2008, 15:34
Member
Beiträge: 202 |
#2
Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) Download ResetTeaTimerhttp://downloads.subratam.org/ResetTeaTimer.bat zum Desktop Doppelklik ResetTeaTimer Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten! ResetTeaTimer nicht fuer Vista und scanne mit mache einen Scan mit Malwarebytes - http://virus-protect.org/artikel/tools/malwarebytes.html vergiss nicht, Mbam vor dem ersten Suchlauf zu aktualisieren und alles entfernen zu lassen, was gefunden wird es ist hilfreich für den Mod im Sicherheitsforum, wenn dann das Reinigungslog von Malwarebytes mit in den Beitrag kopiert wird. (kann man auch als Anhang als txt-Datei machen) Downloadlink, falls der Download von der Mbam Seite geblockt wird: http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html und Combofix http://www.virus-protect.org/artikel/tools/combofix.html Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinen Thread einfuegen. http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast. dann ein neues log von hj this und die logs von mbam und combofix posten |
|
|
||
05.10.2008, 17:31
Member
Themenstarter Beiträge: 16 |
||
|
||
08.10.2008, 02:39
Member
Themenstarter Beiträge: 16 |
#4
kann mir jmd jetzt noch damit helfen???
|
|
|
||
08.10.2008, 12:34
Ehrenmitglied
Beiträge: 6028 |
#5
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Gamez\PartyPoker\PartyPoker\RunApp.exe (file missing)klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst CombiFix entfernen Start > Ausführen>Kopiere rein ComboFix /U OK Update MBAM und scanne nochmal __________ MfG Argus |
|
|
||
08.10.2008, 15:23
Member
Themenstarter Beiträge: 16 |
#6
naja malware hat wieder nix gefunden, trozdem ist mein explorer alles andere als stabil :/
|
|
|
||
11.10.2008, 19:09
Member
Themenstarter Beiträge: 16 |
#7
also langsam isses jetzt nicht mehr, den doc hab ich auch deaktiviert aber wenn ich auf eigenschaften von ner verknüpfung geh stürzt immer der explorer ab:
C:\DOKUME~1\NIGHTC~1\LOKALE~1\Temp\7c8_appcompat.txt AppName: explorer.exe AppVer: 6.0.2900.2180 ModName: browseui.dll ModVer: 6.0.2900.2180 Offset: 00003dd6 das sagt der fehlerbericht... also was tun? EDIT: ich würd ja gern mit dem doppelposten aufhören... aber irgendwie gehts nich ohne :/ |
|
|
||
11.10.2008, 19:53
Moderator
Beiträge: 5694 |
#8
>>
Wende SDFIX im abgesicherten Modus an und poste das Log: http://virus-protect.org/artikel/tools/sdfix.html >> Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei monate: http://www.virus-protect.org/datfindbat.html |
|
|
||
12.10.2008, 14:24
Member
Themenstarter Beiträge: 16 |
#9
hier mal das 1. log:
SDFix: Version 1.234 Run by Nightcrawler on 12.10.2008 at 14:15 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-12 14:21:09 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d052731] "00039d30c65a"=hex:6b,e6,dc,db,fe,30,5c,1c,44,de,8c,2c,9c,e1,4f,65 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:661f6d59 "s2"=dword:d26946b6 "h0"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "h0"=dword:00000000 "ujdew"=hex:c0,ba,b0,d6,37,d2,c7,dc,d9,f4,06,9c,9f,c1,85,9e,f9,ce,00,bf,15,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000001 "khjeh"=hex:c4,0b,ae,15,fd,4d,92,48,d6,1b,ea,8f,fc,dc,f2,28,6e,e5,56,14,78,.. "p0"="C:\Programme\DAEMON Tools Lite\" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,d2,52,ab,4f,2a,33,c5,01,2e,bf,28,a9,12,8e,26,3b,64,.. "khjeh"=hex:85,0c,30,db,5a,39,c1,84,9c,60,a4,b7,07,44,3f,30,e4,1e,28,f7,13,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:41,52,c3,af,4d,fb,f2,b2,e7,7b,70,8a,19,50,ad,0f,7c,b1,d4,04,47,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000b0d052731] "00039d30c65a"=hex:6b,e6,dc,db,fe,30,5c,1c,44,de,8c,2c,9c,e1,4f,65 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "h0"=dword:00000000 "ujdew"=hex:c0,ba,b0,d6,37,d2,c7,dc,d9,f4,06,9c,9f,c1,85,9e,f9,ce,00,bf,15,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000001 "khjeh"=hex:c4,0b,ae,15,fd,4d,92,48,d6,1b,ea,8f,fc,dc,f2,28,6e,e5,56,14,78,.. "p0"="C:\Programme\DAEMON Tools Lite\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,d2,52,ab,4f,2a,33,c5,01,2e,bf,28,a9,12,8e,26,3b,64,.. "khjeh"=hex:85,0c,30,db,5a,39,c1,84,9c,60,a4,b7,07,44,3f,30,e4,1e,28,f7,13,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:41,52,c3,af,4d,fb,f2,b2,e7,7b,70,8a,19,50,ad,0f,7c,b1,d4,04,47,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" "C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe:*isabled:backWeb-8876480" "C:\\Gamez\\Neverwinter Nights 2\\nwn2main.exe"="C:\\Gamez\\Neverwinter Nights 2\\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main" "C:\\Gamez\\Neverwinter Nights 2\\nwn2main_amdxp.exe"="C:\\Gamez\\Neverwinter Nights 2\\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD" "C:\\Gamez\\Neverwinter Nights 2\\nwupdate.exe"="C:\\Gamez\\Neverwinter Nights 2\\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater" "C:\\Gamez\\Neverwinter Nights 2\\nwn2server.exe"="C:\\Gamez\\Neverwinter Nights 2\\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server" "C:\\Gamez\\Die Schlacht um Mittelerde(tm)\\game.dat"="C:\\Gamez\\Die Schlacht um Mittelerde(tm)\\game.dat:*:Enabledie Schlacht um Mittelerde" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files : Files with Hidden Attributes : Sun 5 Oct 2008 1,572,864 A..H. --- "C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.bak_jv16pt" Sun 5 Oct 2008 1,572,864 A..H. --- "C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.bak_jv16pt" Sun 5 Oct 2008 7,602,176 A..H. --- "C:\Dokumente und Einstellungen\Nightcrawler\NTUSER.DAT.bak_jv16pt" Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe" Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" Sun 5 Oct 2008 23 A.SH. --- "C:\WINDOWS\system32\faeafdfdcc_g.dll" Sun 29 Apr 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Thu 18 Sep 2008 4,934 ...HR --- "C:\Dokumente und Einstellungen\Nightcrawler\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak" Fri 29 Dec 2006 262,144 A..H. --- "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt" Fri 29 Dec 2006 262,144 A..H. --- "C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt" Sun 5 Oct 2008 262,144 A..H. --- "C:\Dokumente und Einstellungen\Nightcrawler\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt" Finished! so und hier nr 2: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A412-072C Verzeichnis von c:\ 12.10.2008 14:34 0 dirdat.txt 12.10.2008 14:19 2.145.386.496 pagefile.sys 05.10.2008 16:51 14.714 ComboFix.txt 05.10.2008 13:48 256 boot.ini 02.10.2008 21:14 12.608 graph.log 01.09.2008 11:54 45 TEST.XML Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A412-072C Verzeichnis von C:\WINDOWS\system32 05.10.2008 20:07 23 faeafdfdcc_g.dll 05.10.2008 20:07 23 dbafbbed_g.ocx 05.10.2008 20:03 401.408 CF3629.exe 05.10.2008 13:52 110.834 nvapps.xml 05.10.2008 00:06 0 nmp.log 03.10.2008 21:12 6.944 jupdate-1.6.0_07-b06.log 27.09.2008 11:01 2.262 wpa.dbl 10.09.2008 14:19 107.888 CmdLineExt.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A412-072C Verzeichnis von C:\WINDOWS 12.10.2008 14:25 414.755 WindowsUpdate.log 12.10.2008 14:19 159 wiadebug.log 12.10.2008 14:19 50 wiaservc.log 12.10.2008 14:19 2.048 bootstat.dat 12.10.2008 14:10 32.622 SchedLgU.Txt 05.10.2008 16:47 227 system.ini 05.10.2008 13:48 615 win.ini 26.09.2008 21:19 54.156 QTFont.qfn 07.09.2008 14:47 84.992 AKDeInstall.exe 05.09.2008 14:49 1.409 QTFont.for 01.09.2008 15:32 0 PowerReg.dat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A412-072C Verzeichnis von C:\DOKUME~1\NIGHTC~1\LOKALE~1\Temp 12.10.2008 14:31 0 etilqs_fk1inhvuVkSq21xih92C 1 Datei(en) 0 Bytes 0 Verzeichnis(se), 11.605.819.392 Bytes frei Dieser Beitrag wurde am 12.10.2008 um 14:38 Uhr von nlghtcrawIer editiert.
|
|
|
||
12.10.2008, 15:05
Moderator
Beiträge: 5694 |
#10
Las folgende Dateien bei www.virustotal.com/de prüfen und poste das Ergebnis:
C:\WINDOWS\system32\faeafdfdcc_g.dll C:\WINDOWS\system32\CF3629.exe Meinst du den IE der langsam ist? Dann mach noch folgendes: >> Download und auf dem Desktop entzippen: http://virus-protect.org/zip/IEreg.zip IERegFix.bat entzippen Klicke: iereg.bat PC neustarten und prüfen, ob der IE korrekt funktioniert >> Scanne mit Bitdefender und berichte: http://virus-protect.org/artikel/tools/bitdefender.html Gruss Swiss Dieser Beitrag wurde am 12.10.2008 um 15:09 Uhr von Tonstudio editiert.
|
|
|
||
12.10.2008, 15:29
Member
Themenstarter Beiträge: 16 |
#11
nein nicht der IE ich surfe mit firefox, der pc is auch wieder schnell, aber der windows explorer stürzt ab wenn ich mir die eigenschaften einer verknüpfung angucke
Datei faeafdfdcc_g.dll empfangen 2008.10.12 15:23:29 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/34 (0%) weitere Informationen File size: 23 bytes MD5...: 660296e97e18a9857be5b592efe939a7 SHA1..: cbf4eefbcb4d06c949955383c09a9066c84511b2 SHA256: 3f44b85a551d8830d2f25661c87368721e98c1192d7da4e60d4083173fb5c607 SHA512: 984bd11577aa30052297d6ce243c81f8bd4ae15a7dd796c8db43b337f2af1ef6 a5f960aca07637b87450d376ac81c8ee68717ed9e77d55a3874166c8b2aaa718 PEiD..: - TrID..: File type identification Unknown! PEInfo: - Datei CF3629.exe empfangen 2008.10.12 15:25:51 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) weitere Informationen File size: 401408 bytes MD5...: ed0f57b5b44c2a5e7a756dc611033a77 SHA1..: d1a93a44975f785265387a9a4b34b285931b1441 SHA256: 0b92c5335b76bf2fcb250c09c648ca91890cfa9081a7a6d9a8461e4acee04e46 SHA512: f888edd244276ff01ec165f0d1fc6a66dc81a1ed57eddbbaaca803a37bf15347 b0200859cafbdc869ff194ab38fa81625a7333a0411dd37f1686401a86736dbc PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4ad05056 timedatestamp.....: 0x41107ebe (Wed Aug 04 06:14:22 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1f5e0 0x1f600 6.59 34e85df368a84fb6c06bed4d147b099a .data 0x21000 0x1ca24 0x1ca00 0.17 f475a5d8db410678faa8b459e2a5fdb4 .rsrc 0x3e000 0x25ab0 0x25c00 3.87 c4100b0355fe0bc1b5dffc7e7b9c70fb ( 3 imports ) > msvcrt.dll: __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __initenv, _cexit, _XcptFilter, _exit, _c_exit, calloc, _wcslwr, qsort, _vsnwprintf, wcsstr, _dup2, _dup, _open_osfhandle, _close, swscanf, _ultoa, _pipe, _seh_longjmp_unwind, _setmode, wcsncmp, iswxdigit, fflush, exit, _wtol, time, srand, __set_app_type, wcsrchr, malloc, free, wcstoul, _errno, iswalpha, printf, rand, swprintf, _iob, fprintf, towlower, realloc, setlocale, _snwprintf, wcscat, _wcsupr, wcsncpy, _wpopen, fgets, _pclose, memmove, wcschr, iswspace, _tell, longjmp, wcscmp, _wcsnicmp, _wcsicmp, wcstol, iswdigit, _getch, _get_osfhandle, _controlfp, _setjmp3, _except_handler3, wcscpy, wcslen, wcsspn, towupper > KERNEL32.dll: FlushConsoleInputBuffer, LoadLibraryA, InterlockedExchange, FreeLibrary, LocalAlloc, GetVDMCurrentDirectories, CmdBatNotification, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetThreadLocale, GetDiskFreeSpaceExW, CompareFileTime, RemoveDirectoryW, GetCurrentDirectoryW, SetCurrentDirectoryW, TerminateProcess, WaitForSingleObject, GetExitCodeProcess, CopyFileW, SetFileAttributesW, DeleteFileW, SetFileTime, CreateDirectoryW, FillConsoleOutputAttribute, SetConsoleTextAttribute, ScrollConsoleScreenBufferW, FormatMessageW, DuplicateHandle, FlushFileBuffers, HeapReAlloc, HeapSize, GetFileAttributesExW, LocalFree, GetDriveTypeW, InitializeCriticalSection, SetConsoleCtrlHandler, GetWindowsDirectoryW, GetConsoleTitleW, GetModuleFileNameW, GetVersion, EnterCriticalSection, LeaveCriticalSection, ExpandEnvironmentStringsW, SearchPathW, WriteFile, GetVolumeInformationW, SetLastError, MoveFileW, SetConsoleTitleW, MoveFileExW, GetBinaryTypeW, GetFileAttributesW, GetCurrentThreadId, CreateProcessW, LoadLibraryW, ReadProcessMemory, SetErrorMode, GetConsoleMode, SetConsoleMode, VirtualAlloc, VirtualFree, SetEnvironmentVariableW, GetEnvironmentVariableW, GetCommandLineW, GetEnvironmentStringsW, GetLocalTime, GetTimeFormatW, FileTimeToLocalFileTime, GetDateFormatW, GetLastError, CloseHandle, SetThreadLocale, GetProcAddress, GetModuleHandleW, SetFilePointer, lstrcmpW, lstrcmpiW, HeapAlloc, GetProcessHeap, HeapFree, MultiByteToWideChar, ReadFile, WriteConsoleW, FillConsoleOutputCharacterW, SetConsoleCursorPosition, ReadConsoleW, GetConsoleScreenBufferInfo, GetStdHandle, GetFileType, VirtualQuery, RaiseException, GetCPInfo, GetConsoleOutputCP, WideCharToMultiByte, GetFileSize, CreateFileW, FindClose, FindNextFileW, FindFirstFileW, GetFullPathNameW, GetUserDefaultLCID, GetLocaleInfoW, SetLocalTime, SystemTimeToFileTime, GetSystemTime, FileTimeToSystemTime > USER32.dll: GetUserObjectInformationW, GetThreadDesktop, MessageBeep, GetProcessWindowStation |
|
|
||
12.10.2008, 15:35
Ehrenmitglied
Beiträge: 29434 |
#12
diese zwei Dateien erscheinen nicht im Log von Combofix (jedoch in Datfind)
kannst du dich erinnern, was du geladen hast zu diesem Zeitpunkt ??? 05.10.2008 20:07 C:\WINDOWS\system32\faeafdfdcc_g.dll C:\WINDOWS\system32\CF3629.exe lade sie bitte bei Norman hoch - warte, bis die Auswertung per email kommt + hier posten http://www.norman.com/microsites/nsic/Submit/de __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.10.2008, 16:04
Member
Themenstarter Beiträge: 16 |
#13
also eigentlich hab ich während den ganzen scans nix geladen, ich hab miranda und firefox immer am laufen das is aber alles hier die mails: (bitdefender läuft noch)
faeafdfdcc_g.dll : Not detected by Sandbox (Signature: NO_VIRUS) [ DetectionInfo ] * Sandbox name: NO_MALWARE * Signature name: NO_VIRUS * Compressed: NO * TLS hooks: NO * Executable type: N/A * Executable file structure: OK * Filetype: Unknown [ General information ] * File length: 23 bytes. * MD5 hash: 660296e97e18a9857be5b592efe939a7. CF3629.exe : Not detected by Sandbox (Signature: NO_VIRUS) [ DetectionInfo ] * Sandbox name: NO_MALWARE * Signature name: NO_VIRUS * Compressed: NO * TLS hooks: NO * Executable type: Application * Executable file structure: OK * Filetype: PE_I386 [ General information ] * File length: 401408 bytes. * MD5 hash: ed0f57b5b44c2a5e7a756dc611033a77. EDIT: im anhang der bitdefender bericht Anhang: 1223822115_1_02.rar Dieser Beitrag wurde am 12.10.2008 um 16:37 Uhr von nlghtcrawIer editiert.
|
|
|
||
12.10.2008, 19:22
Ehrenmitglied
Beiträge: 29434 |
#14
C:\WINDOWS\system32\faeafdfdcc_g.dll
C:\WINDOWS\system32\CF3629.exe sind jedenfalls bei der Google-Suche nicht bekannt. Zur Zeit werden sie nicht als Malware eingeschätzt, also kannst du sie drauflassen oder auch löschen. lade avz (russische Seite) - scanne + poste den Report http://virus-protect.org/artikel/tools/avz.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.10.2008, 20:39
Member
Themenstarter Beiträge: 16 |
#15
Attention !!! Database was last updated 06.04.2008 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.30 Scanning started at 12.10.2008 20:11:05 Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09 Heuristic microprograms loaded: 370 SPV microprograms loaded: 9 Digital signatures of system files loaded: 70476 Heuristic analyzer mode: Medium heuristics level Healing mode: enabled Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights System Restore: enabled 1. Searching for Rootkits and programs intercepting API functions 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Analysis: ntdll.dll, export table found in section .text Analysis: user32.dll, export table found in section .text Analysis: advapi32.dll, export table found in section .text Analysis: ws2_32.dll, export table found in section .text Analysis: wininet.dll, export table found in section .text Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver loaded successfully SDT found (RVA=08C500) Kernel KERNEL1.EXE found in memory at address 804D7000 SDT = 80563500 KiST = 804E4F40 (284) Function NtCreateKey (29) intercepted (80579528->F74D70E0), hook spqs.sys Function NtCreateThread (35) intercepted (80586CE6->B59CA65C), hook not defined Function NtEnumerateKey (47) intercepted (8057A69E->F74F5CA2), hook spqs.sys Function NtEnumerateValueKey (49) intercepted (80590C93->F74F6030), hook spqs.sys Function NtOpenKey (77) intercepted (80573F1D->F74D70C0), hook spqs.sys Function NtOpenProcess (7A) intercepted (80581C68->B59CA648), hook not defined Function NtOpenThread (80) intercepted (80598726->B59CA64D), hook not defined Function NtQueryKey (A0) intercepted (8057A29E->F74F6108), hook spqs.sys Function NtQueryValueKey (B1) intercepted (80574361->F74F5F88), hook spqs.sys Function NtSetValueKey (F7) intercepted (80584921->F74F619A), hook spqs.sys Function NtTerminateProcess (101) intercepted (8058CE75->B59CA657), hook not defined Function NtWriteVirtualMemory (115) intercepted (805880B7->B59CA652), hook not defined Functions checked: 284, intercepted: 12, restored: 0 1.3 Checking IDT and SYSENTER Analysis for CPU 1 Analysis for CPU 2 Checking IDT and SYSENTER - complete 1.4 Searching for masking processes and drivers Checking not performed: extended monitoring driver (AVZPM) is not installed Driver loaded successfully 1.5 Checking of IRP handlers \FileSystem\ntfs[IRP_MJ_CREATE] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_CLOSE] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_WRITE] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_SET_EA] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89B5A1F8 -> hook not defined \FileSystem\ntfs[IRP_MJ_PNP] = 89B5A1F8 -> hook not defined Checking - complete 2. Scanning memory Number of processes found: 35 Number of modules loaded: 372 Scanning memory - complete 3. Scanning disks C:\Programme\DivX\DivX Converter\dpil100.dll >>> suspicion for AdvWare.Win32.NewWeb.i ( 00707F72 00000000 001AEEF2 001AFFE8 61440) Direct reading C:\WINDOWS\system32\drivers\sptd.sys 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) 6. Searching for opened TCP/UDP ports used by malicious programs Checking disabled by user 7. Heuristic system check Checking - complete 8. Searching for vulnerabilities >> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung) >> Services: potentially dangerous service allowed: TermService (Terminaldienste) >> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst) >> Services: potentially dangerous service allowed: TlntSvr (Telnet) >> Services: potentially dangerous service allowed: Schedule (Taskplaner) >> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe) >> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe) > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)! >> Security: disk drives' autorun is enabled >> Security: administrative shares (C$, D$ ...) are enabled >> Security: anonymous user access is enabled Checking - complete 9. Troubleshooting wizard >> HDD autorun are allowed >> Autorun from network drives are allowed >> Removable media autorun are allowed Checking - complete Files scanned: 143587, extracted from archives: 121038, malicious software found 0, suspicions - 1 Scanning finished at 12.10.2008 20:38:30 Time of scanning: 00:27:26 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address http://virusinfo.info conference auch nix... EDIT: hab beide dateien mal gelöscht, bringt auch nix |
|
|
||
der explorer + der doc stürzen ab wenn ich ne verknüpfung lösche oder die eigenschaften angucke manchmal stürzen sie aber auch so ab ohne wirklichen grund
das einzige was ich geändert hab war mein grafik treiber zu aktualieren, da ich das aber von der nvidia page gemacht glaub ich kaum das da malware dabei war.
ich hab nun antivir durchlaufen lassen, der hat zwar 2 trojaner gefunden aber das problem besteht weiterhin hier mal mein system + hijackthis log:
Win xp sp2
NVIDIA Geforce 8800 GTS
m2n32 sli deluxe
2gb ram
amd athlohn 64 x2 4200+
Zitat
ich könnte den doc zwar deaktivieren, allerdings würde das ja nix am eigentlichen problem lösen oder?Vielen dank im vorraus
Mfg night
EDIT:
C:\DOKUME~1\NIGHTC~1\LOKALE~1\Temp\WER3f8d.dir00\drwtsn32.exe.mdmp
C:\DOKUME~1\NIGHTC~1\LOKALE~1\Temp\WER3f8d.dir00\appcompat.txt
das steht bei der fehler meldung drin die datei:"appcompat.txt" macht mir auch grad ärger bei dem Spiel "schlacht um mittelerde" das ich vor ein paar tagen installiert hab
das spiel geht nicht über den ladebildschirm hinaus und hängt sich auf