TR/Vundo.Gen Befall |
||
---|---|---|
#0
| ||
14.02.2009, 23:56
...neu hier
Beiträge: 4 |
||
|
||
15.02.2009, 00:39
Moderator
Beiträge: 5694 |
#2
>>
Wende CCleaner an. >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.+++.com/fwlink/?LinkId=54896und wähle fix checked. Starte den Rechner neu. >> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
15.02.2009, 02:20
...neu hier
Themenstarter Beiträge: 4 |
#3
Danke Swiss für deine Antwort um die späte Zeit
nach dem CCleaner waren die 02 einträge weg im HijackThis, dshalb konnte ich sie nicht fixen, nach dem neustart jedoch meldete antivir gleich wieder in der system32 yayxvVop.dll als TR/Vundo.dll. Hier das Log von Malwarebytes: Es wurde ausgegeben, das bestimmte Teile nicht entfernt werden konnten, jedoch konnte ich dem tutorial nicht folgen mit weitere tools da ein neustart von nöten war um zu entfernen. Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1762 Windows 5.1.2600 Service Pack 2 15.02.2009 02:00:16 mbam-log-2009-02-15 (02-00-16).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|M:\|) Durchsuchte Objekte: 135205 Laufzeit: 38 minute(s), 48 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 10 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\yayxvVop.dll (Trojan.Vundo.H) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fef0a030-7c0f-47fc-9355-d2fdaf9a91d7} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{fef0a030-7c0f-47fc-9355-d2fdaf9a91d7} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fef0a030-7c0f-47fc-9355-d2fdaf9a91d7} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\yayxvvop -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\yayxvvop -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\yayxvVop.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\poVvxyay.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\poVvxyay.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{385E4EE1-11C5-4933-AB97-D95223BCE7F4}\RP150\A0089356.dll (Trojan.Vundo) -> Quarantined and deleted successfully. Hier das Log von Combofix: ComboFix 09-02-12.03 - Admin 2009-02-15 2:12:40.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1024.732 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\windows\system32\hasbfgmj.ini c:\windows\Tasks\dfgmvzcq.job ----- BITS: Eventuell infizierte Webseiten ----- hxxp://childhe.com . ((((((((((((((((((((((( Dateien erstellt von 2009-01-15 bis 2009-02-15 )))))))))))))))))))))))))))))) . 2009-02-15 01:17 . 2009-02-15 01:17 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-02-15 01:17 . 2009-02-15 01:17 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes 2009-02-15 01:17 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-15 01:17 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-14 21:40 . 2009-02-14 21:40 <DIR> d-------- C:\VundoFix Backups 2009-02-14 16:27 . 2009-02-14 16:27 <DIR> dr-h----- c:\dokumente und einstellungen\Admin\Anwendungsdaten\SecuROM 2009-02-14 15:39 . 2009-02-14 15:39 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Spore 2009-02-14 14:52 . 2009-02-14 14:52 <DIR> d-------- c:\programme\PopCap Games 2009-02-14 14:52 . 2009-02-14 15:47 16 --a------ c:\windows\popcinfot.dat 2009-02-14 14:52 . 2009-02-14 14:52 0 --a------ c:\windows\popcreg.dat 2009-02-03 18:19 . 2009-02-04 19:17 34 --a------ c:\windows\cdplayer.ini 2009-02-03 18:10 . 2009-02-03 19:51 <DIR> d-------- c:\programme\audiograbber 2009-02-03 18:09 . 2009-02-03 18:09 <DIR> d-------- c:\windows\uninstall\Audiograbber 2009-02-03 18:09 . 2009-02-03 18:09 <DIR> d-------- c:\windows\uninstall 2009-02-03 17:55 . 2008-06-20 18:27 19,840 --a------ c:\windows\system32\drivers\StMp3Rec.sys 2009-02-03 17:54 . 2009-02-03 17:55 <DIR> d-------- c:\programme\Philips 2009-02-03 17:54 . 2009-02-03 17:54 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\InstallShield 2009-01-31 12:11 . 2009-01-31 12:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HipSoft 2009-01-31 11:58 . 2009-01-31 12:10 <DIR> d-------- c:\dokumente und einstellungen\Admin\10DaysUnderTheSea 2009-01-31 10:58 . 2009-01-31 10:58 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Playrix Entertainment 2009-01-29 21:25 . 2009-01-29 21:30 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Ancient Quest of Saqqarah__city 2009-01-17 19:26 . 2009-01-17 19:31 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Ancient Quest of Saqqarah__intenium 2009-01-17 17:37 . 2009-01-17 17:37 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Jane s Hotel Family Hero 2009-01-15 18:34 . 2009-01-15 18:36 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\BeachPartyCraze 2009-01-15 17:34 . 2009-01-15 17:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\blg 2009-01-15 17:34 . 2009-01-15 17:34 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\blg 2009-01-15 17:28 . 2009-01-15 17:28 <DIR> d-------- c:\programme\bfgclient 2009-01-15 17:26 . 2009-01-15 17:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VirtualFarm 2009-01-15 17:26 . 2009-01-18 17:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BigFishGamesCache . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-14 15:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Windows Live Toolbar 2009-02-14 14:37 --------- d--h--w c:\programme\InstallShield Installation Information 2009-01-29 19:53 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Meridian93 2009-01-22 09:00 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\U3 2009-01-18 18:19 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-01-15 16:24 --------- d-----w c:\programme\OXXOGames 2009-01-04 19:41 --------- d-----w c:\programme\BearShare MediaBar 2009-01-04 18:52 --------- d-----w c:\programme\Google 2008-12-23 08:18 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\teamspeak2 . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497] "QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2008-02-04 98304] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920] "lxdnmon.exe"="c:\programme\Lexmark 2600 Series\lxdnmon.exe" [2007-12-17 660136] "lxdnamon"="c:\programme\Lexmark 2600 Series\lxdnamon.exe" [2007-12-17 16040] "Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\dpnsvr.exe"= "c:\\WINDOWS\\system32\\dxdiag.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\lxdncoms.exe"= "c:\\Programme\\Lexmark 2600 Series\\lxdnamon.exe"= "c:\\Programme\\Lexmark 2600 Series\\frun.exe"= "c:\\Programme\\Abbyy FineReader 6.0 Sprint\\Scan\\ScanMan6.exe"= "c:\\Programme\\Lexmark 2600 Series\\lxdnmon.exe"= "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnpswx.exe"= "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdntime.exe"= "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnjswx.exe"= "e:\\Programme\\ICQ6\\ICQ.exe"= "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnwbgw.exe"= "e:\\Die Siedler - Aufbruch der Kulturen\\bin\\SADK.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "7082:TCP"= 7082:TCP:SADK R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [2008-01-23 501560] R2 lxdn_device;lxdn_device;c:\windows\system32\lxdncoms.exe -service --> c:\windows\system32\lxdncoms.exe -service [?] R2 lxdnCATSCustConnectService;lxdnCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdnserv.exe [2008-06-23 98984] S3 SetupNTGLM7X;SetupNTGLM7X;\??\n:\ntglm7x.sys --> n:\NTGLM7X.sys [?] S4 LMIRfsClientNP;LMIRfsClientNP; [x] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-Cmaudio - cmicnfg.cpl . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ mStart Page = hxxp://go.gmx.net/home uInternet Settings,ProxyOverride = <local> IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-15 02:13:48 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-796845957-1482476501-725345543-1005\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_USERS\S-1-5-21-796845957-1482476501-725345543-1005\Software\SecuROM\License information*] "datasecu"=hex:ff,22,d3,37,29,16,0d,73,c5,3b,14,36,aa,f8,b8,06,93,f7,05,21,2b, 0c,30,9e,58,ad,ab,d7,68,66,0a,84,92,3c,10,29,b5,a4,fb,a6,26,59,29,bf,82,8b,\ "rkeysecu"=hex:08,d9,d3,11,88,7f,b6,2a,36,c8,1d,6f,34,a5,45,fd . Zeit der Fertigstellung: 2009-02-15 2:15:25 ComboFix-quarantined-files.txt 2009-02-15 01:15:15 Vor Suchlauf: 731.623.424 Bytes frei Nach Suchlauf: 723,247,104 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 150 --- E O F --- 2008-09-27 12:50:30 Dank dir fürs anschauen oder jemand anderem. LG Nico P.S. schaue heute früh erst, wieder brauch jetzt ein wenig schlaf nach dem ganzem stress mit diesem Problem |
|
|
||
15.02.2009, 11:25
Moderator
Beiträge: 5694 |
#4
>>
Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Stelle Dein Avira Antivir so ein wie hier beschrieben. Dann scanne und poste das Log. (Nach dem scanen, Einstellungen wieder zurücksetzen) http://board.protecus.de/t23979.htm >> Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate: http://www.virus-protect.org/datfindbat.html Gruss Swiss |
|
|
||
16.02.2009, 19:20
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo Swiss, sorry das es erst heute kommt und Danke für deine Antwort.
Combofix wurde entfernt. Hier das log von Antivir mit den genannten Einstellungen: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 16. Februar 2009 18:13 Es wird nach 1248499 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: ALEXECKE Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 12:04:28 AVSCAN.DLL : 8.1.4.0 48897 Bytes 20.07.2008 18:32:55 LUKE.DLL : 8.1.4.5 164097 Bytes 20.07.2008 18:32:56 LUKERES.DLL : 8.1.4.0 12545 Bytes 20.07.2008 18:32:56 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:51:14 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 09:28:38 ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 11.02.2009 09:28:38 ANTIVIR3.VDF : 7.1.2.33 112640 Bytes 16.02.2009 16:54:58 Engineversion : 8.2.0.79 AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 09:38:25 AESCRIPT.DLL : 8.1.1.47 348539 Bytes 14.02.2009 09:28:42 AESCN.DLL : 8.1.1.7 127347 Bytes 14.02.2009 09:28:41 AERDL.DLL : 8.1.1.3 438645 Bytes 07.11.2008 14:04:10 AEPACK.DLL : 8.1.3.8 397684 Bytes 09.02.2009 17:30:54 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12.12.2008 12:03:40 AEHEUR.DLL : 8.1.0.90 1573237 Bytes 09.02.2009 17:30:47 AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 15:55:23 AEGEN.DLL : 8.1.1.16 332148 Bytes 14.02.2009 09:28:40 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 15:02:46 AECORE.DLL : 8.1.6.5 176501 Bytes 14.02.2009 09:28:39 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 15:02:42 AVWINLL.DLL : 1.0.0.12 15105 Bytes 20.07.2008 18:32:55 AVPREF.DLL : 8.0.2.0 38657 Bytes 20.07.2008 18:32:55 AVREP.DLL : 8.0.0.2 98344 Bytes 08.09.2008 09:10:29 AVREG.DLL : 8.0.0.1 33537 Bytes 20.07.2008 18:32:55 AVARKT.DLL : 1.0.0.23 307457 Bytes 07.05.2008 14:18:46 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 20.07.2008 18:32:54 SQLITE3.DLL : 3.3.17.1 339968 Bytes 07.05.2008 14:18:46 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 20.07.2008 18:32:56 NETNT.DLL : 8.0.0.1 7937 Bytes 07.05.2008 14:18:46 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 20.07.2008 18:32:47 RCTEXT.DLL : 8.0.52.0 86273 Bytes 20.07.2008 18:32:47 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, F:, H:, M:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Auszulassende Dateien............: N:\silent.exe, Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 16. Februar 2009 18:13 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '42381' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxdnmsdmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxdncoms.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLanCfgG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxdnserv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '32' Prozesse mit '32' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD5 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'H:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'M:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '54' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <Programme> Beginne mit der Suche in 'E:\' <Spiele> Beginne mit der Suche in 'F:\' Beginne mit der Suche in 'H:\' <DATEN> Beginne mit der Suche in 'M:\' <DATEN> Ende des Suchlaufs: Montag, 16. Februar 2009 19:05 Benötigte Zeit: 52:08 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 5134 Verzeichnisse wurden überprüft 823015 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 823014 Dateien ohne Befall 2286 Archive wurden durchsucht 5 Warnungen 0 Hinweise 42381 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Hier das log von datfindbat: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C887-D554 Verzeichnis von c:\ 16.02.2009 19:10 0 dirdat.txt 16.02.2009 17:51 1.610.612.736 pagefile.sys 15.02.2009 02:15 9.960 ComboFix.txt 15.02.2009 02:11 281 boot.ini 14.02.2009 22:34 159 VundoFix.txt 09.02.2009 18:49 268 sqmdata08.sqm 09.02.2009 18:49 244 sqmnoopt08.sqm 04.02.2009 19:22 268 sqmdata07.sqm 04.02.2009 19:22 244 sqmnoopt07.sqm 03.02.2009 20:15 268 sqmdata06.sqm 03.02.2009 20:15 244 sqmnoopt06.sqm 03.02.2009 18:19 268 sqmdata05.sqm 03.02.2009 18:19 244 sqmnoopt05.sqm 31.01.2009 13:20 268 sqmdata04.sqm 31.01.2009 13:20 244 sqmnoopt04.sqm 29.01.2009 20:26 268 sqmdata03.sqm 29.01.2009 20:26 244 sqmnoopt03.sqm 29.01.2009 16:50 268 sqmdata02.sqm 29.01.2009 16:50 244 sqmnoopt02.sqm 28.01.2009 20:30 268 sqmdata01.sqm 28.01.2009 20:30 244 sqmnoopt01.sqm 22.01.2009 19:57 268 sqmdata00.sqm 22.01.2009 19:57 244 sqmnoopt00.sqm 22.01.2009 09:29 268 sqmdata19.sqm 22.01.2009 09:29 244 sqmnoopt19.sqm 20.01.2009 20:48 268 sqmdata18.sqm 20.01.2009 20:48 244 sqmnoopt18.sqm 19.01.2009 19:50 268 sqmdata17.sqm 19.01.2009 19:50 244 sqmnoopt17.sqm 18.01.2009 20:13 268 sqmdata16.sqm 18.01.2009 20:13 244 sqmnoopt16.sqm 17.01.2009 20:18 268 sqmdata15.sqm 17.01.2009 20:18 244 sqmnoopt15.sqm 16.01.2009 08:30 268 sqmdata14.sqm 16.01.2009 08:30 244 sqmnoopt14.sqm 15.01.2009 19:00 268 sqmdata12.sqm 15.01.2009 19:00 244 sqmnoopt12.sqm 13.01.2009 19:13 268 sqmdata13.sqm 13.01.2009 19:13 244 sqmnoopt13.sqm 11.01.2009 18:29 268 sqmdata11.sqm 11.01.2009 18:29 244 sqmnoopt11.sqm 11.01.2009 13:44 268 sqmdata10.sqm 11.01.2009 13:44 244 sqmnoopt10.sqm 08.01.2009 20:27 268 sqmdata09.sqm 08.01.2009 20:27 244 sqmnoopt09.sqm 04.01.2009 19:53 125 ioSpecial.ini Verzeichnis von C:\WINDOWS\system32 16.02.2009 17:52 13.646 wpa.dbl 14.02.2009 15:46 0 c3a41185-.txt 26.10.2008 11:43 401.064 perfh009.dat 26.10.2008 11:43 62.344 perfc009.dat 26.10.2008 11:43 415.470 perfh007.dat 26.10.2008 11:43 74.996 perfc007.dat 26.10.2008 11:43 966.250 PerfStringBackup.INI 16.10.2008 14:13 1.809.944 wuaueng.dll 16.10.2008 14:13 202.776 wuweb.dll 16.10.2008 14:12 323.608 wucltui.dll 16.10.2008 14:12 213.528 wuaucpl.cpl 16.10.2008 14:12 561.688 wuapi.dll 16.10.2008 14:09 92.696 cdm.dll 16.10.2008 14:09 51.224 wuauclt.exe 16.10.2008 14:09 43.544 wups2.dll 16.10.2008 14:08 34.328 wups.dll 16.10.2008 14:08 31.768 wucltui.dll.mui 16.10.2008 14:08 27.672 wuaucpl.cpl.mui 16.10.2008 14:08 27.672 wuapi.dll.mui 16.10.2008 14:07 18.968 wuaueng.dll.mui 16.10.2008 14:06 208.744 muweb.dll 16.10.2008 14:06 268.648 mucltui.dll 16.10.2008 14:06 27.496 mucltui.dll.mui Verzeichnis von C:\WINDOWS 16.02.2009 17:57 62.429 WindowsUpdate.log 16.02.2009 17:52 159 wiadebug.log 16.02.2009 17:52 50 wiaservc.log 16.02.2009 17:52 2.048 bootstat.dat 15.02.2009 20:41 32.596 SchedLgU.Txt 15.02.2009 02:13 227 system.ini 14.02.2009 15:47 16 popcinfot.dat 14.02.2009 14:52 0 popcreg.dat 09.02.2009 18:48 116 NeroDigital.ini 04.02.2009 19:17 34 cdplayer.ini 24.08.2008 18:48 4.096 d3dx.dat Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp 16.02.2009 18:10 401.408 CF19242.exe 16.02.2009 18:06 1.053.744 VSUSetup.exe 16.02.2009 17:58 519 jusched.log 16.02.2009 17:56 4.706 REV1.tmp 16.02.2009 17:56 4.706 REV2.tmp 16.02.2009 17:54 846 lxdnscan.log |
|
|
||
16.02.2009, 19:27
Moderator
Beiträge: 5694 |
#6
Dürfte alles wieder sauber sein.
>> Systemwiederherstellung deaktivieren (XP): Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann das Häkchen wieder rausnehmen. (also wieder aktivieren) >> Und mach noch einen Onlinescan mit ESET und berichte: http://virus-protect.org/artikel/tools/eset-nod.html Gruss Swiss |
|
|
||
16.02.2009, 20:43
...neu hier
Themenstarter Beiträge: 4 |
#7
Hi Swiss soweit alles gemacht, erst mal besten Dank.
Ich kann nur den Onlinescan nicht machen da ActivX steuerelemente fehelen, wenn ich diese Installieren möchte, wird die installation geblockt. Nach umstellen der Internetoptionen, also nichtsignierte herunterladen und ausführen geht es auch nicht. Ich weiß nicht ob ich da noch eine andere einstellung vornehmen muss. LG Nico |
|
|
||
16.02.2009, 21:10
Moderator
Beiträge: 5694 |
||
|
||
hatte bisher noch keine erfahrungen mit so etwas und habe mich jetzt mal an der HijackThis.log erstellung versucht. Hoffe es reicht.
Zum Problem Antivir findet yayxyVop.dll als TR/Vundo.dll
Habe schon ne menge zu diesem Problem gelesen jedoch habe ich überall gesehen, das die HiJackThis gepostet wurden und dann etwas gemacht werden musste, dies war aber jedesmal etwas anders, deshalb bin ich mir nicht sicher und frage hier nach.
Ich habe noch Vundofix laufen lassen im abgesicherten Modus leider hat er nix gefunden. Im normalen Modus meldet antivir immer wieder diese datei zweimal versucht man zu löschen erscheinen sie wieder. Ein normales Arbeiten ist nicht möglich.
System im angesicherten Modus fahren lassen und Antivir laufen lassen 3 der Vundo Trojaner wurden entfernt aber mit anderem namen, diese hatte Antivir vorher aber nicht gemeldet. Nur der letzte kann nicht gelöscht werden, verursacht bei antivir einen Fehler.
Hier die HiJackThis hoffe ihr könnt mir helfen Vielen dank an euch...
Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 22:51:56, on 14.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
D:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdnser v.exe
C:\WINDOWS\system32\lxdncoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark 2600 Series\lxdnmon.exe
D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lexmark 2600 Series\lxdnMsdMon.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.+++.net/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.+++.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.+++.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.+++.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.+++.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.+++.net/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: (no name) - {58F634D9-AF24-4B02-842F-C3B3A25C23E0} - C:\WINDOWS\system32\yayxvVop.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lxdnmon.exe] "C:\Programme\Lexmark 2600 Series\lxdnmon.exe"
O4 - HKLM\..\Run: [lxdnamon] "C:\Programme\Lexmark 2600 Series\lxdnamon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res:/++/C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://h++p://www.nvidia.com/content...sysreqlab2.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://h++p://sdlc-esd.sun.com/ESD39...ws-i586-jc.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h++ps://secure.logmein.com/activex/RACtrl.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - D:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdnse rv.exe
O23 - Service: lxdn_device - - C:\WINDOWS\system32\lxdncoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Wenn jemand helfen kann vieleicht mit genauer schrittabfolge für die gegenmaßnahme
LG Nico