Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

2 Seiten V   1 2 >  
Closed TopicStart new topic
> nach Rechnerneustart - öffent sich Ordner Dokumente und Einstellungen, bitte Hijack-This log anschauen
Estarina
Beitrag 30.10.2013, 23:43
Beitrag #1



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 474
Mitglied seit: 07.10.2006
Mitglieds-Nr.: 5.419

Betriebssystem:
Windows 7 Prof. 64 bit
Virenscanner:
G-DATA TP
Firewall:
Fritz!Box 7490



Hallo @ all,

nach Rechnerneustart öffnet sich seit 2-3 Tagen Ordner: C:\Dokumente und Einstellungen\Benutzername

Habe unter msconfig --> Systemstart geschaut - nichts diesbezüglich gefunden
auch direkt unter C:\Dokumente und Einstellungen ... in den einzelnen Startmenü --> Programme --> Autostart-Ordnern ... nichts dergleichen
Registry --> ebenfalls nichts was auf o.g. Ordnern hindeutet

confused.gif


Hijack This:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:27:47, on 30.10.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
C:\Programme\G DATA\TotalProtection\AVK\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\Programme\Intel\WiFi\bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\idt\dellxpm09b_6159v043\wdm\stacsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\TotalProtection\AVK\AVKService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe
C:\Programme\Norton Ghost\Agent\VProTray.exe
C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\DellTPad\Apoint.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\AESTFltr.exe
C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
C:\Programme\Java\jre7\bin\jqs.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
C:\Programme\DellTPad\ApMsgFwd.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\G DATA\TotalProtection\Firewall\GDFirewallTray.exe
C:\Programme\DellTPad\Apntex.exe
C:\Programme\G DATA\TotalProtection\AVKTray\AVKTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\Programme\LingoPad\LingoPad.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Secunia\PSI\sua.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\G DATA\TotalProtection\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
D:\Daten\PC und Internet\Einstellungen am PC\Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [Norton Ghost 12.0] "C:\Programme\Norton Ghost\Agent\VProTray.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [AESTFltr] "C:\WINDOWS\system32\AESTFltr.exe" /NoDlg
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [APSDaemon] "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\TotalProtection\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G Data AntiVirus Tray] C:\Programme\G DATA\TotalProtection\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [G Data ASM] "C:\Programme\G DATA\TotalProtection\DelayLoader\AutorunDelayLoader.exe" /autostart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [LingoPad] C:\Programme\LingoPad\LingoPad.exe /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: *.dell.com
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {49312E18-AA92-4CC2-BB97-55DEA7BCADD6} (WMI Class) - http://support.dell.com/systemprofiler/SysProExe.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1348148347281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1348263137390
O16 - DPF: {8CFCF42C-1C64-47D6-AEEC-F9D001832ED3} (DellSystem.Scanner) - http://xserv.dell.com/DellDriverScanner/DellSystem.CAB
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54499735-932F-4018-9A9A-08024F855CD3}: NameServer = 192.168.122.252,192.168.122.253
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G DATA\TotalProtection\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\TotalProtection\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Dell ControlPoint Button Service (buttonsvc32) - Dell Inc. - C:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe
O23 - Service: Dell ControlPoint System Manager (dcpsysmgrsvc) - Dell Inc. - C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G DATA\TotalProtection\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
O23 - Service: G Data Tuner Service (GDTunerSvc) - G Data Software AG - C:\Programme\G DATA\TotalProtection\AVKTuner\AVKTunerService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programme\Java\jre7\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel® Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: Secunia PSI Agent - Secunia - C:\Programme\Secunia\PSI\PSIA.exe
O23 - Service: Secunia Update Agent - Secunia - C:\Programme\Secunia\PSI\sua.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\dellxpm09b_6159v043\wdm\stacsv.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Programme\Intel\WiFi\bin\WLKeeper.exe
O24 - Desktop Component 1: PC-Aquarium Deluxe - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 11680 bytes


Findet einer etwas verdächtiges?

Habe auch direkt unter Hijack This eine Auswertung laufen lassen:

O4 - HKLM\..\Run: [AESTFltr] "C:\WINDOWS\system32\AESTFltr.exe" /NoDlg
Was hat es damit auf sich?


Secunia ist sauber --> Programm zur Überprüfung der Aktualität von Software


Danke euch für Eure Hilfe und Tipps schon mal im Voraus.
Mit besten Grüßen

eure Estarina
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 31.10.2013, 09:00
Beitrag #2



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.095
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



Hallo Estarina,
schaue Dir das an: http://www.winfaq.de/faq_html/Content/tip0...p?h=tip0546.htm


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
Estarina
Beitrag 31.10.2013, 13:35
Beitrag #3


Threadersteller

Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 474
Mitglied seit: 07.10.2006
Mitglieds-Nr.: 5.419

Betriebssystem:
Windows 7 Prof. 64 bit
Virenscanner:
G-DATA TP
Firewall:
Fritz!Box 7490



@ Rene-gad

Danke für den Link - hatte ich bereits alles durchprobiert - bin noch einmal alle Punkte durchgegangen, hätte ja sein können, das ich letztens einen vergessen habe - aber nichts ... nirgends etwas, was den verdächtigen Eintrag gezeigt hätte.

confused.gif

Hat bitte noch jemand eine Idee?



Eure Estarina
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 31.10.2013, 13:40
Beitrag #4



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.095
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



Erstelle bitte ein AVZ-Log nach Anleitung: http://forum.kaspersky.com/index.php?showtopic=202867


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
Peter 123
Beitrag 31.10.2013, 16:48
Beitrag #5



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.560
Mitglied seit: 19.07.2008
Wohnort: Österreich
Mitglieds-Nr.: 6.967

Betriebssystem:
Windows 10 (Home, 64 bit)
Virenscanner:
Windows Defender
Firewall:
Router / Windows-Firewall



ZITAT(Estarina @ 31.10.2013, 00:42) *
Habe auch direkt unter Hijack This eine Auswertung laufen lassen:

O4 - HKLM\..\Run: [AESTFltr] "C:\WINDOWS\system32\AESTFltr.exe" /NoDlg
Was hat es damit auf sich?

Das scheint harmlos zu sein. Siehe hier: http://www.bleepingcomputer.com/startups/a....exe-25836.html
Auszug:
ZITAT
Command: %system%\AESTFltr.exe /NoDlg
Description: Developed by Andrea Electronics Corporation this file is part of an audio program that is preinstalled on certain Dell computers, be installed with certain USB audio devices, or be part of the AudioCommander software. The latter functions as an alternative to the computer's Volume Control interface. If preinstalled on the computer, disabling this startup will cause audio problems.

oder hier: http://www.file.net/prozess/aestfltr.exe.html
Auszug:
ZITAT
Mikrofon-Geräuschfilter von Andrea Electronics

Go to the top of the page
 
+Quote Post
kevin3002
Beitrag 31.10.2013, 18:03
Beitrag #6



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 232
Mitglied seit: 14.11.2009
Mitglieds-Nr.: 7.835

Betriebssystem:
osx, win, linux
Virenscanner:
was so kommt



Hi,
hast du den G Data Autostartmanager irgendwie eingerichetet?
Eventuell ist da ein Eintrag zu finden?

Grüße
kevin
Go to the top of the page
 
+Quote Post
Estarina
Beitrag 31.10.2013, 21:24
Beitrag #7


Threadersteller

Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 474
Mitglied seit: 07.10.2006
Mitglieds-Nr.: 5.419

Betriebssystem:
Windows 7 Prof. 64 bit
Virenscanner:
G-DATA TP
Firewall:
Fritz!Box 7490



@ Peter 123

Danke für den Hinweis.


@ kevin3002

im Autostart-Manager von G-DATA ist diesbezüglich kein Eintrag.
Danke Dir trotzdem für den Tipp.

@ rene-gad

anbei die zip-Datei
bitte mal draufschauen
- einmal mit malware removeable mode (allerdings nicht bis zum Schluss durchgelaufen)
- deshalb dann noch einmal "nur" advanced system analysis


Hatte schon öfter mal eine Datei hochgeladen und somit an Beiträge angehängt - beseht denn diese Möglichkeit nicht mehr oder sehe ich es bloß nicht???


Eure Estarina
Go to the top of the page
 
+Quote Post
Estarina
Beitrag 31.10.2013, 21:30
Beitrag #8


Threadersteller

Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 474
Mitglied seit: 07.10.2006
Mitglieds-Nr.: 5.419

Betriebssystem:
Windows 7 Prof. 64 bit
Virenscanner:
G-DATA TP
Firewall:
Fritz!Box 7490



AVZ Antiviral Toolkit log; AVZ version is 4.41
Scanning started at 31.10.2013 20:46:55
Database loaded: signatures - 297613, NN profile(s) - 2, malware removal microprograms - 56, signature database released 31.10.2013 16:00
Heuristic microprograms loaded: 405
PVS microprograms loaded: 9
Digital signatures of system files loaded: 603092
Heuristic analyzer mode: Maximum heuristics mode
Malware removal mode: disabled
Windows version is: 5.1.2600, Service Pack 3 ; AVZ is run with administrator rights
System Restore: Disabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=085700)
Kernel ntkrnlpa.exe found in memory at address 804D7000
SDT = 8055C700
KiST = 80504570 (284)
Functions checked: 284, intercepted: 0, restored: 0
1.3 Checking IDT and SYSENTER
Analyzing CPU 1
Analyzing CPU 2
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
1.5 Checking IRP handlers
Driver loaded successfully
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = B9AA8694 -> C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = B9AA8694 -> C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
Checking - complete
2. Scanning RAM
Number of processes found: 67
Extended process analysis: 1560 C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
[ES]:Program code includes networking-related functionality
[ES]:Application has no visible windows
[ES]:Registered for automatic startup !!
Extended process analysis: 688 C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
[ES]:Application has no visible windows
Extended process analysis: 792 C:\Programme\G DATA\TotalProtection\AVK\AVKService.exe
[ES]:Application has no visible windows
Extended process analysis: 2116 C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
[ES]:Program code includes networking-related functionality
[ES]:Application has no visible windows
Extended process analysis: 4056 C:\Programme\FreePDF_XP\fpassist.exe
[ES]:Application has no visible windows
[ES]:Registered for automatic startup !!
Extended process analysis: 2352 C:\PROGRA~1\MICROS~3\rapimgr.exe
[ES]:Program code includes networking-related functionality
[ES]:Listens on TCP ports !
[ES]:Application has no visible windows
Extended process analysis: 3592 C:\Programme\Mozilla Firefox\firefox.exe
[ES]:Program code includes networking-related functionality
[ES]:Registered for automatic startup !!
[ES]:Loads RASAPI DLL - may use dialing ?
Number of modules loaded: 480
Scanning RAM - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
Checking - disabled by user
7. Heuristic system check
Found a call command line interpreter in startup [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\WINDOWS\system32\hkcmd.exe]
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Alerter (Warndienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun is allowed
>> Network drives autorun is allowed
>> Removable media autorun is allowed
Checking - complete
Files scanned: 547, extracted from archives: 0, malicious software found 0, suspicions - 0
Scanning finished at 31.10.2013 20:47:59
Time of scanning: 00:01:05
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://forum.kaspersky.com/index.php?showforum=19
For automatic scanning of files from the AVZ quarantine you can use the service http://virusdetector.ru/
System Analysis in progress
System Analysis - complete
Go to the top of the page
 
+Quote Post
Estarina
Beitrag 31.10.2013, 22:12
Beitrag #9


Threadersteller

Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 474
Mitglied seit: 07.10.2006
Mitglieds-Nr.: 5.419

Betriebssystem:
Windows 7 Prof. 64 bit
Virenscanner:
G-DATA TP
Firewall:
Fritz!Box 7490



Malwarebytes Anti Malware

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.10.31.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Thomas :: NBTHOMAS [Administrator]

31.10.2013 21:36:50
mbam-log-2013-10-31 (21-36-50).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 216857
Laufzeit: 23 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 01.11.2013, 08:48
Beitrag #10



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.095
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



ZITAT(Estarina @ 31.10.2013, 21:23) *
@ rene-gad
anbei die zip-Datei

Wo denn? Der gepostete Text zeigt, dass Du die AVZ-Anleitung nicht gelesen/verstanden hast. Bitte noch mal smile.gif
Log MBAM sieht sauber aus.
ZITAT(Estarina @ 31.10.2013, 21:23) *
Hatte schon öfter mal eine Datei hochgeladen und somit an Beiträge angehängt - beseht denn diese Möglichkeit nicht mehr oder sehe ich es bloß nicht???

Sehe gar keine von Dir angehängte Datei...

Der Beitrag wurde von Rene-gad bearbeitet: 01.11.2013, 09:00


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
Estarina
Beitrag 01.11.2013, 10:02
Beitrag #11


Threadersteller

Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 474
Mitglied seit: 07.10.2006
Mitglieds-Nr.: 5.419

Betriebssystem:
Windows 7 Prof. 64 bit
Virenscanner:
G-DATA TP
Firewall:
Fritz!Box 7490



@ Rene-gad

Denke mal schon, dass ich die Anleitung verstanden und korrekt durchgeführt habe - das Problem ist, dass ich bei rokop NICHT MEHR DIE MÖGLICHKEIT FINDE, die Log-Dateien hochzuladen.

die Logdateien, gibt es im zip Format
als auch virusinfo_syscheck.htm
als auch virusinfo_syscure.htm
... jeweils auch als *.xml und eben *.zip

virusinfo_autoquarantine.zip (dieses nur als zip)


Hast du eine Idee, wie ich Dir die Dateien zukommen lassen kann oder weshalb ich die Möglichkeit bei rokop nicht mehr angezeigt bekomme?


Mit besten Grüßen
Estarina
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 01.11.2013, 14:21
Beitrag #12



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.095
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



ZITAT(Estarina @ 01.11.2013, 10:01) *
Denke mal schon, dass ich die Anleitung verstanden und korrekt durchgeführt habe - das Problem ist, dass ich bei rokop NICHT MEHR DIE MÖGLICHKEIT FINDE, die Log-Dateien hochzuladen.

Mag sein! Habe nicht darüber gedacht, sorry, bitte nur die KL_Syscure.zip über ein File-Sharing-Server (z.B. rapidshare.com) uploaden und den DL-Link hier posten


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
Estarina
Beitrag 01.11.2013, 16:27
Beitrag #13


Threadersteller

Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 474
Mitglied seit: 07.10.2006
Mitglieds-Nr.: 5.419

Betriebssystem:
Windows 7 Prof. 64 bit
Virenscanner:
G-DATA TP
Firewall:
Fritz!Box 7490



@ Rene-gad

KL_Syscure.zip habe ich nicht im LOG Ordner gefunden, aber auch sonst nirgends confused.gif

http://rapidshare.com/share/3BC81CCBEF4DB252F3CE424E29CE8901


Bitte mal anschauen.


Mit besten Grüßen
Estarina
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 02.11.2013, 10:51
Beitrag #14



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.095
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



Kann nichts finden, was ein solches Verhalten verursachen könnte. Hast Du in der letzten Zeit neue Hard/Software installiert?
ZITAT(Estarina @ 31.10.2013, 13:34) *
hätte ja sein können, das ich letztens einen vergessen habe

Eben der letzte Punkt ist Windows XP-spezifisch.

Der Beitrag wurde von Rene-gad bearbeitet: 02.11.2013, 10:52


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
Estarina
Beitrag 02.11.2013, 12:17
Beitrag #15


Threadersteller

Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 474
Mitglied seit: 07.10.2006
Mitglieds-Nr.: 5.419

Betriebssystem:
Windows 7 Prof. 64 bit
Virenscanner:
G-DATA TP
Firewall:
Fritz!Box 7490



@ Rene-gad

Vielen, vielen dank, dass du es durchgeschaut hast thumbup.gif


Habe in letzter Zeit nichts installiert und auch keine neue Hardware.

Der Windows-XP spezifische Registry Eintrag war i.O.
Eintrag war korrekt "Userinit="C:\WINDOWS\SYSTEM32\USERINIT.EXE,"


Und nun?
Der Ordner "C:\Dokumente und Einstellungen\Benutzername" öffnet zeitverzögert beim Rechnerneustart.


Mit besten Grüßen
Eure Estarina
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 03.11.2013, 08:46
Beitrag #16



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.095
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



Hmm, k.A.
Schaue bitte noch was im Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell" geschrieben ist, es muss nur explorer.exe sein.


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
Estarina
Beitrag 03.11.2013, 11:09
Beitrag #17


Threadersteller

Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 474
Mitglied seit: 07.10.2006
Mitglieds-Nr.: 5.419

Betriebssystem:
Windows 7 Prof. 64 bit
Virenscanner:
G-DATA TP
Firewall:
Fritz!Box 7490



Ja, der Eintrag in dem von Dir genannten Schlüssel ist ebenfalls korrekt - nur explorer.exe


Wirklich merkwürdig.


Ich danke Dir ganz sehr für deine vielen Tipps und Mühe.


Eure Estarina
Go to the top of the page
 
+Quote Post
kevin3002
Beitrag 03.11.2013, 12:23
Beitrag #18



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 232
Mitglied seit: 14.11.2009
Mitglieds-Nr.: 7.835

Betriebssystem:
osx, win, linux
Virenscanner:
was so kommt



Gerade das zeitverzögert bringt mich wieder auf den G Data Autostartmanager - alles andere ist doch ein direkter Start... ph34r.gif

Passiert das ganze denn auch, wenn du diesen Autostart mal deaktivierst?

O4 - HKLM\..\Run: [G Data ASM] "C:\Programme\G DATA\TotalProtection\DelayLoader\AutorunDelayLoader.exe" /autostart
Go to the top of the page
 
+Quote Post
Estarina
Beitrag 03.11.2013, 17:18
Beitrag #19


Threadersteller

Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 474
Mitglied seit: 07.10.2006
Mitglieds-Nr.: 5.419

Betriebssystem:
Windows 7 Prof. 64 bit
Virenscanner:
G-DATA TP
Firewall:
Fritz!Box 7490



@ Kevin3002

Danke Dir, habe noch einmal geschaut
der Eintrag hängt bestimmt mit Quick Time zusammen - habe ich unter Autostart mit Zeitverzögerung in G--DATA TotalProtection.

Ja - liegt an Quick Time - habe dies in Autostart ohne Zeitverzögerung geschoben, gespeichert und Hijack this neu
dann fiel genau der Eintrag raus.

Hängt also leider nicht mit Ordner Dokumente und Einstellungen zusammen :-(



Mit besten Grüßen
Eure Estarina


Go to the top of the page
 
+Quote Post
Peter 123
Beitrag 03.11.2013, 22:12
Beitrag #20



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.560
Mitglied seit: 19.07.2008
Wohnort: Österreich
Mitglieds-Nr.: 6.967

Betriebssystem:
Windows 10 (Home, 64 bit)
Virenscanner:
Windows Defender
Firewall:
Router / Windows-Firewall



Manchmal hilft es bei Computerproblemen weiter, wenn man mit den englischen Begriffen nach Lösungen sucht.

Versuche es mal zB. bei Google mit "Documents and Settings" (das entspricht unserem "Dokumente und Einstellungen"), allenfalls kombiniert mit Begriffen wie "opens" und "startup".

Ich habe da zB. Folgendes gefunden:

"Documents and Settings Folder opening on Startup":
http://forums.techguy.org/windows-xp/10442...ng-startup.html

Das Problem konnte beim dem Nutzer letztlich gelöst werden. Wie genau - dazu müsstest du dir den dortigen Thread selbst durchsehen. Mir war das jetzt zu langwierig. tongue.gif

Oder hier noch eine Anleitung von Microsoft selbst. Die bezieht sich allerdings darauf, dass sich der Ordner "Eigene Dateien" ("Documents") immer beim Start öffnet, also ein anderer Ordner als bei dir! (Außerdem bezieht sich der Artikel auf die Version von Windwos XP mit SP1.) Zumindest ansehen könntest du dir aber den dort erwähnten Registry-Eintrag:

- in schlechter deutscher Übersetzung: http://support.microsoft.com/kb/555294
- oder dasselbe in Englisch: http://support.microsoft.com/kb/555294/en-us

Ansonsten: Bei Google weitersuchen. Es gibt noch mehr zu den genannten Suchbegriffen. Mit Glück könnte etwas Passendes dabei sein.

Der Beitrag wurde von Peter 123 bearbeitet: 03.11.2013, 22:21
Go to the top of the page
 
+Quote Post

2 Seiten V   1 2 >
Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 02.11.2024, 00:22
Impressum