Home » Viren, Trojaner & Malware Forum » Virus.Win32.Themida!IK » Themenansicht

Virus.Win32.Themida!IK

Thema ist geschlossen!
Thema ist geschlossen!
#0
26.03.2010, 21:32
KathrinH
Member

Beiträge: 122
#1 Hallo, Ihr Lieben,

gestern habe ich ihn erstmals gefunden mit A-Squared free und in Quarantäne geschickt, heute war er wieder da und schon im System Volume!
Wie werde ich das Viech wieder los???
Wie gefährlich ist Themida und was macht er?
Wie schnell wird er aktiv und was ist der Auslöser dafür?
Bin für schnelle Hilfe sehr dankbar.

Bis bald also. Dankeschön im Voraus.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel ;). Dann finde ich die optimalste Lösung!
Seitenanfang Seitenende
27.03.2010, 03:10
Swisstreasure
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.


Es handelt sich um Laufzeitpacker:
http://www.avira.com/de/threats/section/details/id_vir/4935/pck_themida.html

Zitat

...Laufzeitpacker wie UPX können EXE-Dateien komprimieren, wobei sie weiter ausführbar bleiben.
Woher Du das hast weisst Du am besten ;) Meisten als Anhang eines Email oder so.


Schritt 1

Kannst Du auf Deinem Computer alle Dateien und Datei-Endungen sehen? Falls nein, bitte diese Einstellungen in den Ordneroptionen vornehmen.

Schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
Seitenanfang Seitenende
27.03.2010, 11:41
KathrinH
Member

Themenstarter

Beiträge: 122
#3 Hallo, lieber Swisstreasure,

gaaaanz lieben Dank für Deine schnelle Hilfe, aber es war falscher Alarm. Zum Glück :-)! Gerade hat A-Squared free diese 2 Dateien wieder freigelassen.

Dankeschön :-).

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel ;). Dann finde ich die optimalste Lösung!
Seitenanfang Seitenende
27.03.2010, 15:30
Swisstreasure
Moderator

Beiträge: 5694
#4 Um welche Datei hat es sich dann gehandelt? Wäre noch interessant ;)
Seitenanfang Seitenende
09.04.2010, 16:56
KathrinH
Member

Themenstarter

Beiträge: 122
#5 Hallo, lieber Swisstreasure,

sorry für meine späte Antwort, aber besser spät als nie ;-)! Die Dateien hießen:

Hewlett-Packard Digital Imaging bin Hpqdirec.exe

Windows $ NT Service Pack Uninstall$ ntkrnlmp.exe.000

ST5 Unst.exe

Einen echten Trojaner (TR/Agent.102400.CP) hat mir Avira rausgefischt. Der lauerte in der Datei:

C:\System Volume Information\_restore{186DA31E-F7F2-473D-8AAA-F3FC9C19CB0D}\RP391\A0056261.exe. Habe ihn eingesperrt :-).

Seit einigen Tagen geht das Update vom Malwarebytes 1.45 nicht mehr. Die Fehlermeldung lautet: MBAM Error Updating (12150,0,Winhttp Query Headers).

Was ist denn da wieder los? Habe schon gegoogelt, aber nichts gefunden.

Bin gespannt. Dankeschön im Voraus.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel ;). Dann finde ich die optimalste Lösung!
Seitenanfang Seitenende
10.04.2010, 12:02
Swisstreasure
Moderator

Beiträge: 5694
#6 Hast Du die Freeversion? Und evtl eine Neuintsallation versucht? Du könntest auch versuchen Kurzzeitig deinen Virenscanner abzuschalten beim Update.
Seitenanfang Seitenende
14.04.2010, 10:50
KathrinH
Member

Themenstarter

Beiträge: 122
#7 Hallo, lieber Swisstreasure,

ja, ich habe die Freeversion von Malwarebytes. Neuinstallation war vergebliche Mühe. Immer noch diese Fehlermeldung und keine Updates möglich.

Ich vermute mal, ich muss bei Malwarebytes irgendwo was manuell einfügen, damit die Updates wieder funzen. Wenn ich nur wüsste, was und wo ;-)???

Ich habe Windows XP Pro und den Firefox.

Bin gespannt. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel ;). Dann finde ich die optimalste Lösung!
Seitenanfang Seitenende
14.04.2010, 16:16
Swisstreasure
Moderator

Beiträge: 5694
#8 Also ich will einmal sicher gehen dass wirklich nichts mehr schädliches auf dem Sytem lauert. Arbeite durch was im ersten Post von mir steht.
Seitenanfang Seitenende
14.04.2010, 18:23
KathrinH
Member

Themenstarter

Beiträge: 122
#9 Hier hast Du :-).


Code


OTL logfile created on: 14.04.2010 17:58:29 - Run 1
OTL by OldTimer - Version 3.2.1.1     Folder = C:\Dokumente und Einstellungen\Heike\Eigene Dateien\Downloads April
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 218,00 Mb Available Physical Memory | 43,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 70,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,45 Gb Total Space | 50,45 Gb Free Space | 67,77% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: KATHRIN
Current User Name: Kathrin Heike
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\Heike\Eigene Dateien\Downloads April\OTL.exe (OldTimer Tools)
PRC - C:\Programme\a-squared Free\a2service.exe (Emsi Software GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\PicPick\picpick.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe (Sunbelt Software, Inc.)
PRC - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe (Sunbelt Software, Inc.)
PRC - C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe (Sunbelt Software, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
PRC - C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
PRC - C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)
PRC - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
PRC - C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin)
PRC - C:\Programme\FRITZ!DSL\FwebProt.exe (AVM Berlin)
PRC - C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
PRC - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe (Hewlett-Packard Co.)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe (Microsoft® Corporation)
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Dokumente und Einstellungen\Heike\Eigene Dateien\Downloads April\OTL.exe (OldTimer Tools)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (a2free) -- C:\Programme\a-squared Free\a2service.exe (Emsi Software GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (SPF4) -- C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe (Sunbelt Software, Inc.)
SRV - (SbPF.Launcher) -- C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe (Sunbelt Software, Inc.)
SRV - (AcrSch2Svc) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)
SRV - (MZCCntrl) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
SRV - (AVM IGD CTRL Service) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin)
SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe (AVM Berlin)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (timounter) -- C:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis)
DRV - (tifsfilter) -- C:\WINDOWS\system32\drivers\tifsfilt.sys (Acronis)
DRV - (snapman) -- C:\WINDOWS\system32\DRIVERS\snapman.sys (Acronis)
DRV - (AFS2K) -- C:\WINDOWS\system32\drivers\AFS2K.SYS (Oak Technology Inc.)
DRV - (SbFw) -- C:\WINDOWS\system32\drivers\SbFw.sys (Sunbelt Software, Inc.)
DRV - (sbhips) -- C:\WINDOWS\system32\drivers\sbhips.sys (Sunbelt Software, Inc.)
DRV - (SBFWIMCL) -- C:\WINDOWS\system32\drivers\SbFwIm.sys (Sunbelt Software, Inc.)
DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation)
DRV - (SipIMNDI) -- C:\WINDOWS\system32\drivers\SipIMNDI.sys (T-Systems Enterprise Services GmbH)
DRV - (MIINPazX) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\MIINPazx.sys (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
DRV - (MTOnlPktAlyX) -- C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\MTOnlPktAlyx.sys (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH)
DRV - (MACNDIS5) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MAcNdis5.sys (Marmiko IT-Solutions GmbH)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (OMCI) -- C:\WINDOWS\SYSTEM32\DRIVERS\OMCI.SYS (Dell Computer Corporation)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1343024091-343818398-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
IE - HKU\S-1-5-21-1343024091-343818398-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1343024091-343818398-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.02 11:02:50 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.02 11:02:50 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.18\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2008.12.01 12:29:04 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.18\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2009.04.03 13:04:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kathrin Heike\Anwendungsdaten\Mozilla\Extensions
[2009.12.17 22:52:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kathrin Heike\Anwendungsdaten\Mozilla\Firefox\Profiles\pcs0qzc4.default\extensions
[2009.10.26 19:13:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Kathrin Heike\Anwendungsdaten\Mozilla\Firefox\Profiles\pcs0qzc4.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.04.14 10:07:59 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.15 14:52:21 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2007.07.26 13:05:16 | 000,001,329 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\crawlersrch.xml
[2010.03.15 14:52:21 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.15 14:52:21 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.15 14:52:21 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.15 14:52:21 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2002.09.11 17:02:09 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Übersetzer) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll (PROMT Ltd.)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [PicPick Start] C:\Programme\PicPick\picpick.exe ()
O4 - HKLM..\Run: [T-Online Dialerschutz-Software] C:\Programme\T-Online\Dialerschutz-Software\Defender.exe (T-Systems Enterprise Services GmbH)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKU\S-1-5-21-1343024091-343818398-839522115-1003..\Run: [[url="http://www.ccleaner.de"]CCleaner[/url]] C:\Programme\[url="http://www.ccleaner.de"]CCleaner[/url]\[url="http://www.ccleaner.de"]CCleaner[/url].exe (Piriform Ltd)
O4 - HKU\S-1-5-21-1343024091-343818398-839522115-1003..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)
O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\Kathrin Heike\Startmenü\Programme\Autostart\DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1343024091-343818398-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O7 - HKU\S-1-5-21-1343024091-343818398-839522115-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm ()
O9 - Extra 'Tools' menuitem : Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\OPTIONS.HTM ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\FRITZ!DSL\SARAH.DLL (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O15 - HKU\S-1-5-21-1343024091-343818398-839522115-1003\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKU\S-1-5-21-1343024091-343818398-839522115-1003\..Trusted Ranges: Range1 (•  in Lokales Intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.11.23 19:25:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.04.14 08:18:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2010.04.09 16:15:46 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.09 16:15:41 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.09 16:15:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.03.21 19:43:01 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2008.11.28 16:47:22 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2008.11.23 21:22:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.11.23 19:28:48 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2008.11.23 19:28:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.04.14 17:28:02 | 000,000,000 | ---- | M] () -- C:\hpfr3420.xml
[2010.04.14 08:18:20 | 000,458,822 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.14 08:18:20 | 000,441,124 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.14 08:18:20 | 000,071,060 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.04.14 08:18:19 | 000,084,326 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.14 08:18:18 | 001,070,080 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.14 08:14:21 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010.04.14 08:13:38 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.14 08:13:35 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.10 17:14:33 | 001,310,720 | ---- | M] () -- C:\Dokumente und Einstellungen\Kathrin Heike\ntuser.dat
[2010.04.10 17:14:33 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Kathrin Heike\ntuser.ini
[2010.04.09 16:15:49 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.09 16:02:47 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.03.30 00:46:30 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.30 00:45:52 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.04.09 16:15:49 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2009.11.17 17:59:50 | 000,070,984 | ---- | C] () -- C:\Dokumente und Einstellungen\Kathrin Heike\g2mdlhlpx.exe
[2009.03.09 13:23:32 | 001,310,720 | ---- | C] () -- C:\Dokumente und Einstellungen\Kathrin Heike\ntuser.dat
[2009.02.16 22:37:01 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Kathrin Heike\ntuser.ini
[2009.02.16 22:36:58 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\Kathrin Heike\NTUSER.DAT.LOG
[2009.01.15 12:27:02 | 000,108,544 | ---- | C] () -- C:\WINDOWS\System32\cwx6_32.dll
[2008.11.28 15:34:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll
[2008.11.23 23:00:54 | 000,000,203 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2008.11.23 23:00:09 | 000,561,152 | R--- | C] () -- C:\WINDOWS\System32\hpotscl.dll
< End of report >


Hast Du darin schon was gefunden?

Soll ich noch mit Gmer scannen?

Bin gespannt. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel ;). Dann finde ich die optimalste Lösung!
Seitenanfang Seitenende
14.04.2010, 19:20
Swisstreasure
Moderator

Beiträge: 5694
#10 Ja lass GMER noch scannen. Melde mich dann später und schau mir die Logs an.

Und das zweite Log von OTL das extra.txt fehlt noch.
Seitenanfang Seitenende
14.04.2010, 21:27
KathrinH
Member

Themenstarter

Beiträge: 122
#11 Sorry, hatte das 2. Log gelöscht :-). Habe gerade nochmal gescannt. Wozu braucht man denn 2 Logs?

Code



OTL Extras logfile created on: 14.04.2010 21:13:15 - Run 2
OTL by OldTimer - Version 3.2.1.1     Folder = C:\Dokumente und Einstellungen\Heike\Eigene Dateien\Downloads April
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 242,00 Mb Available Physical Memory | 47,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 70,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,45 Gb Total Space | 50,43 Gb Free Space | 67,73% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: KATHRIN
Current User Name: Kathrin Heike
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- C:\Programme\T-Online\T-Online_Software_6\Browser\Browser.exe (Deutsche Telekom AG, T-Com)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- C:\Programme\T-Online\T-Online_Software_6\Browser\Browser.exe "%1" (Deutsche Telekom AG, T-Com)
htmlfile [opennew] -- C:\Programme\T-Online\T-Online_Software_6\Browser\Browser.exe "%1" (Deutsche Telekom AG, T-Com)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\fsetup.exe" = E:\fsetup.exe:*:Disabled:AVM FSetup Application -- File not found
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE" = C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Disabled:FRITZ!DSL - igdctrl.exe -- (AVM Berlin)
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{0F17DDDC-A762-47DB-8DAA-6A948BFBC1BA}" = @promt Office EGGE
"{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java(TM) 6 Update 17
"{2736EE90-D7F8-499E-AA60-E65D4C2FE069}" = Sunbelt Personal Firewall
"{295C31E5-3F91-498E-9623-DA24D2FA2B6A}" = T-Online WLAN-Access Finder
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3E5CBADD-2E51-47C1-BBE2-B802DB6DA56A}" = MBT MetaTrader 4.00
"{419CF344-3D94-4DAD-99C8-EA7B00E5EA8B}" = AcronisTrueImageHome
"{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}" = HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber 
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{9867A917-5D17-40DE-83BA-BEA5293194B1}" = HP Foto- und Bildbearbeitung 2.0 - All-in-One
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A90000000001}" = Adobe Reader 9 - Deutsch
"{B1275E23-717A-4D52-997A-1AD1E24BC7F3}" = T-Online 6.0
"{B376402D-58EA-45EA-BD50-DD924EB67A70}" = HP Speicher-Disc
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C900EF06-2E76-49C7-8DB0-41F629B21DC5}" = hp psc 1200 series
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D78653C3-A8FF-415F-92E6-D774E634FF2D}" = Dell ResourceCD
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E8C5BD56-F5D8-41D3-8A71-273468FE256A}" = T-Online Dialerschutz-Software
"{EDDDC607-91D9-4758-9F57-265FDCD8A772}" = Microsoft Works 7.0 
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"A_Profitable_Mechanical_Trading_System" = Mechanical eBook and Viewer
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"a-squared Free_is1" = a-squared Free 3.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"[url="http://www.ccleaner.de"]CCleaner[/url]" = [url="http://www.ccleaner.de"]CCleaner[/url] (remove only)
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"FRITZ!DSL" = AVM FRITZ!DSL
"HP PSC 1200 Series" = HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series
"LHTTSGED" = L&H TTS3000 Deutsch
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Thunderbird (2.0.0.18)" = Mozilla Thunderbird (2.0.0.18)
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"tv_enua" = Lernout & Hauspie TruVoice American English TTS Engine
"VLC media player" = VLC media player 1.0.2
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
 
[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"GoToMeeting" = GoToMeeting 4.0.0.320
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 12.04.2010 02:15:10 | Computer Name = KATHRIN | Source = MsiInstaller | ID = 10005
Description = Produkt: Product Software -- Sie besitzen keine ausreichenden Berechtigungen,
 um diese Installation für alle Benutzer dieses Computers auszuführen. Melden Sie
 sich als Administrator an, und wiederholen Sie diese Installation.
 
Error - 12.04.2010 13:55:43 | Computer Name = KATHRIN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3743, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 12.04.2010 13:55:47 | Computer Name = KATHRIN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3743, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 13.04.2010 02:20:49 | Computer Name = KATHRIN | Source = MsiInstaller | ID = 10005
Description = Produkt: Product Software -- Sie besitzen keine ausreichenden Berechtigungen,
 um diese Installation für alle Benutzer dieses Computers auszuführen. Melden Sie
 sich als Administrator an, und wiederholen Sie diese Installation.
 
Error - 13.04.2010 02:20:50 | Computer Name = KATHRIN | Source = MsiInstaller | ID = 10005
Description = Produkt: Product Software -- Sie besitzen keine ausreichenden Berechtigungen,
 um diese Installation für alle Benutzer dieses Computers auszuführen. Melden Sie
 sich als Administrator an, und wiederholen Sie diese Installation.
 
Error - 13.04.2010 02:20:50 | Computer Name = KATHRIN | Source = MsiInstaller | ID = 10005
Description = Produkt: Product Software -- Sie besitzen keine ausreichenden Berechtigungen,
 um diese Installation für alle Benutzer dieses Computers auszuführen. Melden Sie
 sich als Administrator an, und wiederholen Sie diese Installation.
 
Error - 14.04.2010 02:16:11 | Computer Name = KATHRIN | Source = MsiInstaller | ID = 10005
Description = Produkt: Product Software -- Sie besitzen keine ausreichenden Berechtigungen,
 um diese Installation für alle Benutzer dieses Computers auszuführen. Melden Sie
 sich als Administrator an, und wiederholen Sie diese Installation.
 
Error - 14.04.2010 02:16:13 | Computer Name = KATHRIN | Source = MsiInstaller | ID = 10005
Description = Produkt: Product Software -- Sie besitzen keine ausreichenden Berechtigungen,
 um diese Installation für alle Benutzer dieses Computers auszuführen. Melden Sie
 sich als Administrator an, und wiederholen Sie diese Installation.
 
Error - 14.04.2010 02:16:13 | Computer Name = KATHRIN | Source = MsiInstaller | ID = 10005
Description = Produkt: Product Software -- Sie besitzen keine ausreichenden Berechtigungen,
 um diese Installation für alle Benutzer dieses Computers auszuführen. Melden Sie
 sich als Administrator an, und wiederholen Sie diese Installation.
 
Error - 14.04.2010 03:57:46 | Computer Name = KATHRIN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3743, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 09.04.2010 02:11:21 | Computer Name = KATHRIN | Source = Cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom1.
 
Error - 09.04.2010 06:15:20 | Computer Name = KATHRIN | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {F2031CB4-8846-4125-942C-46A88FDA2DFA}.
Fehler:
"%2"
aufgetreten
 beim Starten dieses Befehls:  C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpoevm08.exe -Embedding
 
Error - 09.04.2010 10:04:22 | Computer Name = KATHRIN | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {F2031CB4-8846-4125-942C-46A88FDA2DFA}.
Fehler:
"%2"
aufgetreten
 beim Starten dieses Befehls:  C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpoevm08.exe -Embedding
 
Error - 09.04.2010 10:13:28 | Computer Name = KATHRIN | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {F2031CB4-8846-4125-942C-46A88FDA2DFA}.
Fehler:
"%2"
aufgetreten
 beim Starten dieses Befehls:  C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpoevm08.exe -Embedding
 
Error - 10.04.2010 03:09:48 | Computer Name = KATHRIN | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {F2031CB4-8846-4125-942C-46A88FDA2DFA}.
Fehler:
"%2"
aufgetreten
 beim Starten dieses Befehls:  C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpoevm08.exe -Embedding
 
Error - 10.04.2010 11:05:00 | Computer Name = KATHRIN | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {F2031CB4-8846-4125-942C-46A88FDA2DFA}.
Fehler:
"%2"
aufgetreten
 beim Starten dieses Befehls:  C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpoevm08.exe -Embedding
 
Error - 11.04.2010 03:44:25 | Computer Name = KATHRIN | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {F2031CB4-8846-4125-942C-46A88FDA2DFA}.
Fehler:
"%2"
aufgetreten
 beim Starten dieses Befehls:  C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpoevm08.exe -Embedding
 
Error - 12.04.2010 02:15:10 | Computer Name = KATHRIN | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {F2031CB4-8846-4125-942C-46A88FDA2DFA}.
Fehler:
"%2"
aufgetreten
 beim Starten dieses Befehls:  C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpoevm08.exe -Embedding
 
Error - 13.04.2010 02:20:50 | Computer Name = KATHRIN | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {F2031CB4-8846-4125-942C-46A88FDA2DFA}.
Fehler:
"%2"
aufgetreten
 beim Starten dieses Befehls:  C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpoevm08.exe -Embedding
 
Error - 14.04.2010 02:16:13 | Computer Name = KATHRIN | Source = DCOM | ID = 10000
Description = Ein DCOM-Server konnte nicht gestartet werden: {F2031CB4-8846-4125-942C-46A88FDA2DFA}.
Fehler:
"%2"
aufgetreten
 beim Starten dieses Befehls:  C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpoevm08.exe -Embedding
 
 
< End of report >


Morgen kommt der Rest. Bis dann. Dankeschön.
__________
Ich habe keine Ahnung, aber ich weiß das Ziel ;). Dann finde ich die optimalste Lösung!
Seitenanfang Seitenende
16.04.2010, 11:20
Swisstreasure
Moderator

Beiträge: 5694
#12 Wo bleibt der Rest? :O)
Seitenanfang Seitenende
16.04.2010, 21:41
KathrinH
Member

Themenstarter

Beiträge: 122
#13 Sorry, aber Gmer ist ziemlich komisch. Habe es als Admin ausgeführt, keine Sekunde ging es, es zeigte nur 5 Zeilen an, das schien mir zu wenig, ich dachte, der Scan ist stecken geblieben :-), habe auf Scan geklickt, nach über einer Stunde war alles durchgescannt. Hoffentlich hat der Komplettscan keinen Schaden angerichtet. Habe den Scan als Log-Datei gespeichert und finde ihn jetzt nicht wieder ;-)!

Oder als welche Datei muss ich den Scan speichern? AlsText-Datei???

Dankeschön im Voraus.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel ;). Dann finde ich die optimalste Lösung!
Seitenanfang Seitenende
17.04.2010, 04:31
Swisstreasure
Moderator

Beiträge: 5694
#14 wenn Du nach dem Scan Copy klickst und dann hier auf einfüen dann sollte es klappen.

Hier eine Alternative:

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.
Seitenanfang Seitenende
17.04.2010, 19:47
KathrinH
Member

Themenstarter

Beiträge: 122
#15 Hallo, lieber Swisstreasure,

hier isser endlich ;-):


ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/04/17 19:13
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF68FE000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF8A8C000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF353B000 Size: 49152 File Visible: No Signed: -
Status: -

SSDT
-------------------
#: 025 Function Name: NtClose
Status: Hooked by "C:\WINDOWS\system32\drivers\SbFw.sys" at address 0xf6adef7c

#: 037 Function Name: NtCreateFile
Status: Hooked by "C:\WINDOWS\system32\drivers\SbFw.sys" at address 0xf6ade684

#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf8c67a1e

#: 047 Function Name: NtCreateProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\SbFw.sys" at address 0xf6addcac

#: 048 Function Name: NtCreateProcessEx
Status: Hooked by "C:\WINDOWS\system32\drivers\SbFw.sys" at address 0xf6addbb8

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf8c67a14

#: 062 Function Name: NtDeleteFile
Status: Hooked by "C:\WINDOWS\system32\drivers\SbFw.sys" at address 0xf6adf02c

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf8c67a23

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf8c67a2d

#: 097 Function Name: NtLoadDriver
Status: Hooked by "C:\WINDOWS\system32\drivers\sbhips.sys" at address 0xf871801c

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf8c67a32

#: 108 Function Name: NtMapViewOfSection
Status: Hooked by "C:\WINDOWS\system32\drivers\sbhips.sys" at address 0xf8718168

#: 116 Function Name: NtOpenFile
Status: Hooked by "C:\WINDOWS\system32\drivers\SbFw.sys" at address 0xf6ade970

#: 119 Function Name: NtOpenKey
Status: Hooked by "C:\WINDOWS\system32\drivers\SbFw.sys" at address 0xf6adb3e6

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf8c67a00

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf8c67a05

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf8c67a3c

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf8c67a37

#: 206 Function Name: NtResumeThread
Status: Hooked by "C:\WINDOWS\system32\drivers\SbFw.sys" at address 0xf6ade308

#: 224 Function Name: NtSetInformationFile
Status: Hooked by "C:\WINDOWS\system32\drivers\SbFw.sys" at address 0xf6adeca8

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf8c67a28

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf8c67a0f

#: 274 Function Name: NtWriteFile
Status: Hooked by "C:\WINDOWS\system32\drivers\SbFw.sys" at address 0xf6adebfc

==EOF==

Bin schon mächtig gespannt. Dankeschön im Voraus. Bis bald.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel ;). Dann finde ich die optimalste Lösung!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123