nach Rechnerneustart - öffent sich Ordner Dokumente und Einstellungen, bitte Hijack-This log anschauen |
Willkommen, Gast ( Anmelden | Registrierung )
nach Rechnerneustart - öffent sich Ordner Dokumente und Einstellungen, bitte Hijack-This log anschauen |
30.10.2013, 23:43
Beitrag
#1
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 474 Mitglied seit: 07.10.2006 Mitglieds-Nr.: 5.419 Betriebssystem: Windows 7 Prof. 64 bit Virenscanner: G-DATA TP Firewall: Fritz!Box 7490 |
Hallo @ all,
nach Rechnerneustart öffnet sich seit 2-3 Tagen Ordner: C:\Dokumente und Einstellungen\Benutzername Habe unter msconfig --> Systemstart geschaut - nichts diesbezüglich gefunden auch direkt unter C:\Dokumente und Einstellungen ... in den einzelnen Startmenü --> Programme --> Autostart-Ordnern ... nichts dergleichen Registry --> ebenfalls nichts was auf o.g. Ordnern hindeutet Hijack This: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 23:27:47, on 30.10.2013 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe C:\Programme\G DATA\TotalProtection\AVK\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\WiFi\bin\EvtEng.exe C:\Programme\Intel\WiFi\bin\S24EvMon.exe C:\Programme\Intel\WiFi\bin\WLKeeper.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\idt\dellxpm09b_6159v043\wdm\stacsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe C:\Programme\G DATA\TotalProtection\AVK\AVKService.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe C:\Programme\Norton Ghost\Agent\VProTray.exe C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\DellTPad\Apoint.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\AESTFltr.exe C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe C:\Programme\Java\jre7\bin\jqs.exe C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe C:\Programme\DellTPad\ApMsgFwd.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\DellTPad\HidFind.exe C:\Programme\G DATA\TotalProtection\Firewall\GDFirewallTray.exe C:\Programme\DellTPad\Apntex.exe C:\Programme\G DATA\TotalProtection\AVKTray\AVKTray.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Ghost\Agent\VProSvc.exe C:\Programme\LingoPad\LingoPad.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Secunia\PSI\sua.exe C:\WINDOWS\system32\svchost.exe C:\Programme\G DATA\TotalProtection\Firewall\GDFwSvc.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\regedit.exe C:\WINDOWS\explorer.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\dllhost.exe D:\Daten\PC und Internet\Einstellungen am PC\Hijack\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe O4 - HKLM\..\Run: [Norton Ghost 12.0] "C:\Programme\Norton Ghost\Agent\VProTray.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe O4 - HKLM\..\Run: [AESTFltr] "C:\WINDOWS\system32\AESTFltr.exe" /NoDlg O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [APSDaemon] "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\TotalProtection\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [G Data AntiVirus Tray] C:\Programme\G DATA\TotalProtection\AVKTray\AVKTray.exe O4 - HKLM\..\Run: [G Data ASM] "C:\Programme\G DATA\TotalProtection\DelayLoader\AutorunDelayLoader.exe" /autostart O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [LingoPad] C:\Programme\LingoPad\LingoPad.exe /min O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O15 - Trusted Zone: *.dell.com O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} - http://support.euro.dell.com/systemprofiler/SysPro.CAB O16 - DPF: {49312E18-AA92-4CC2-BB97-55DEA7BCADD6} (WMI Class) - http://support.dell.com/systemprofiler/SysProExe.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1348148347281 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1348263137390 O16 - DPF: {8CFCF42C-1C64-47D6-AEEC-F9D001832ED3} (DellSystem.Scanner) - http://xserv.dell.com/DellDriverScanner/DellSystem.CAB O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{54499735-932F-4018-9A9A-08024F855CD3}: NameServer = 192.168.122.252,192.168.122.253 O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G DATA\TotalProtection\AVK\AVKService.exe O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\TotalProtection\AVK\AVKWCtl.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Dell ControlPoint Button Service (buttonsvc32) - Dell Inc. - C:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe O23 - Service: Dell ControlPoint System Manager (dcpsysmgrsvc) - Dell Inc. - C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G DATA\TotalProtection\Firewall\GDFwSvc.exe O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe O23 - Service: G Data Tuner Service (GDTunerSvc) - G Data Software AG - C:\Programme\G DATA\TotalProtection\AVKTuner\AVKTunerService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programme\Java\jre7\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel® Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe O23 - Service: Secunia PSI Agent - Secunia - C:\Programme\Secunia\PSI\PSIA.exe O23 - Service: Secunia Update Agent - Secunia - C:\Programme\Secunia\PSI\sua.exe O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\dellxpm09b_6159v043\wdm\stacsv.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Programme\Intel\WiFi\bin\WLKeeper.exe O24 - Desktop Component 1: PC-Aquarium Deluxe - 7db39a0d-580f-4be9-9195-8bfcd226f6c2 -- End of file - 11680 bytes Findet einer etwas verdächtiges? Habe auch direkt unter Hijack This eine Auswertung laufen lassen: O4 - HKLM\..\Run: [AESTFltr] "C:\WINDOWS\system32\AESTFltr.exe" /NoDlg Was hat es damit auf sich? Secunia ist sauber --> Programm zur Überprüfung der Aktualität von Software Danke euch für Eure Hilfe und Tipps schon mal im Voraus. Mit besten Grüßen eure Estarina |
|
|
31.10.2013, 09:00
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.095 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
Hallo Estarina,
schaue Dir das an: http://www.winfaq.de/faq_html/Content/tip0...p?h=tip0546.htm -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
31.10.2013, 13:35
Beitrag
#3
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 474 Mitglied seit: 07.10.2006 Mitglieds-Nr.: 5.419 Betriebssystem: Windows 7 Prof. 64 bit Virenscanner: G-DATA TP Firewall: Fritz!Box 7490 |
@ Rene-gad
Danke für den Link - hatte ich bereits alles durchprobiert - bin noch einmal alle Punkte durchgegangen, hätte ja sein können, das ich letztens einen vergessen habe - aber nichts ... nirgends etwas, was den verdächtigen Eintrag gezeigt hätte. Hat bitte noch jemand eine Idee? Eure Estarina |
|
|
31.10.2013, 13:40
Beitrag
#4
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.095 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
Erstelle bitte ein AVZ-Log nach Anleitung: http://forum.kaspersky.com/index.php?showtopic=202867
-------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
31.10.2013, 16:48
Beitrag
#5
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.560 Mitglied seit: 19.07.2008 Wohnort: Österreich Mitglieds-Nr.: 6.967 Betriebssystem: Windows 10 (Home, 64 bit) Virenscanner: Windows Defender Firewall: Router / Windows-Firewall |
Habe auch direkt unter Hijack This eine Auswertung laufen lassen: O4 - HKLM\..\Run: [AESTFltr] "C:\WINDOWS\system32\AESTFltr.exe" /NoDlg Was hat es damit auf sich? Das scheint harmlos zu sein. Siehe hier: http://www.bleepingcomputer.com/startups/a....exe-25836.html Auszug: ZITAT Command: %system%\AESTFltr.exe /NoDlg Description: Developed by Andrea Electronics Corporation this file is part of an audio program that is preinstalled on certain Dell computers, be installed with certain USB audio devices, or be part of the AudioCommander software. The latter functions as an alternative to the computer's Volume Control interface. If preinstalled on the computer, disabling this startup will cause audio problems. oder hier: http://www.file.net/prozess/aestfltr.exe.html Auszug: ZITAT Mikrofon-Geräuschfilter von Andrea Electronics |
|
|
31.10.2013, 18:03
Beitrag
#6
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 232 Mitglied seit: 14.11.2009 Mitglieds-Nr.: 7.835 Betriebssystem: osx, win, linux Virenscanner: was so kommt |
Hi,
hast du den G Data Autostartmanager irgendwie eingerichetet? Eventuell ist da ein Eintrag zu finden? Grüße kevin |
|
|
31.10.2013, 21:24
Beitrag
#7
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 474 Mitglied seit: 07.10.2006 Mitglieds-Nr.: 5.419 Betriebssystem: Windows 7 Prof. 64 bit Virenscanner: G-DATA TP Firewall: Fritz!Box 7490 |
@ Peter 123
Danke für den Hinweis. @ kevin3002 im Autostart-Manager von G-DATA ist diesbezüglich kein Eintrag. Danke Dir trotzdem für den Tipp. @ rene-gad anbei die zip-Datei bitte mal draufschauen - einmal mit malware removeable mode (allerdings nicht bis zum Schluss durchgelaufen) - deshalb dann noch einmal "nur" advanced system analysis Hatte schon öfter mal eine Datei hochgeladen und somit an Beiträge angehängt - beseht denn diese Möglichkeit nicht mehr oder sehe ich es bloß nicht??? Eure Estarina |
|
|
31.10.2013, 21:30
Beitrag
#8
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 474 Mitglied seit: 07.10.2006 Mitglieds-Nr.: 5.419 Betriebssystem: Windows 7 Prof. 64 bit Virenscanner: G-DATA TP Firewall: Fritz!Box 7490 |
AVZ Antiviral Toolkit log; AVZ version is 4.41
Scanning started at 31.10.2013 20:46:55 Database loaded: signatures - 297613, NN profile(s) - 2, malware removal microprograms - 56, signature database released 31.10.2013 16:00 Heuristic microprograms loaded: 405 PVS microprograms loaded: 9 Digital signatures of system files loaded: 603092 Heuristic analyzer mode: Maximum heuristics mode Malware removal mode: disabled Windows version is: 5.1.2600, Service Pack 3 ; AVZ is run with administrator rights System Restore: Disabled 1. Searching for Rootkits and other software intercepting API functions 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Analysis: ntdll.dll, export table found in section .text Analysis: user32.dll, export table found in section .text Analysis: advapi32.dll, export table found in section .text Analysis: ws2_32.dll, export table found in section .text Analysis: wininet.dll, export table found in section .text Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver loaded successfully SDT found (RVA=085700) Kernel ntkrnlpa.exe found in memory at address 804D7000 SDT = 8055C700 KiST = 80504570 (284) Functions checked: 284, intercepted: 0, restored: 0 1.3 Checking IDT and SYSENTER Analyzing CPU 1 Analyzing CPU 2 Checking IDT and SYSENTER - complete 1.4 Searching for masking processes and drivers Checking not performed: extended monitoring driver (AVZPM) is not installed 1.5 Checking IRP handlers Driver loaded successfully \driver\tcpip[IRP_MJ_DEVICE_CONTROL] = B9AA8694 -> C:\WINDOWS\system32\drivers\GDTdiIcpt.sys \driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = B9AA8694 -> C:\WINDOWS\system32\drivers\GDTdiIcpt.sys Checking - complete 2. Scanning RAM Number of processes found: 67 Extended process analysis: 1560 C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe [ES]:Program code includes networking-related functionality [ES]:Application has no visible windows [ES]:Registered for automatic startup !! Extended process analysis: 688 C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [ES]:Application has no visible windows Extended process analysis: 792 C:\Programme\G DATA\TotalProtection\AVK\AVKService.exe [ES]:Application has no visible windows Extended process analysis: 2116 C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe [ES]:Program code includes networking-related functionality [ES]:Application has no visible windows Extended process analysis: 4056 C:\Programme\FreePDF_XP\fpassist.exe [ES]:Application has no visible windows [ES]:Registered for automatic startup !! Extended process analysis: 2352 C:\PROGRA~1\MICROS~3\rapimgr.exe [ES]:Program code includes networking-related functionality [ES]:Listens on TCP ports ! [ES]:Application has no visible windows Extended process analysis: 3592 C:\Programme\Mozilla Firefox\firefox.exe [ES]:Program code includes networking-related functionality [ES]:Registered for automatic startup !! [ES]:Loads RASAPI DLL - may use dialing ? Number of modules loaded: 480 Scanning RAM - complete 3. Scanning disks 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) 6. Searching for opened TCP/UDP ports used by malicious software Checking - disabled by user 7. Heuristic system check Found a call command line interpreter in startup [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\WINDOWS\system32\hkcmd.exe] Checking - complete 8. Searching for vulnerabilities >> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung) >> Services: potentially dangerous service allowed: TermService (Terminaldienste) >> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst) >> Services: potentially dangerous service allowed: Alerter (Warndienst) >> Services: potentially dangerous service allowed: Schedule (Taskplaner) >> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe) >> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe) > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)! >> Security: administrative shares (C$, D$ ...) are enabled >> Security: anonymous user access is enabled Checking - complete 9. Troubleshooting wizard >> HDD autorun is allowed >> Network drives autorun is allowed >> Removable media autorun is allowed Checking - complete Files scanned: 547, extracted from archives: 0, malicious software found 0, suspicions - 0 Scanning finished at 31.10.2013 20:47:59 Time of scanning: 00:01:05 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address http://forum.kaspersky.com/index.php?showforum=19 For automatic scanning of files from the AVZ quarantine you can use the service http://virusdetector.ru/ System Analysis in progress System Analysis - complete |
|
|
31.10.2013, 22:12
Beitrag
#9
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 474 Mitglied seit: 07.10.2006 Mitglieds-Nr.: 5.419 Betriebssystem: Windows 7 Prof. 64 bit Virenscanner: G-DATA TP Firewall: Fritz!Box 7490 |
Malwarebytes Anti Malware
Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.10.31.07 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Thomas :: NBTHOMAS [Administrator] 31.10.2013 21:36:50 mbam-log-2013-10-31 (21-36-50).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 216857 Laufzeit: 23 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
|
|
01.11.2013, 08:48
Beitrag
#10
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.095 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
@ rene-gad anbei die zip-Datei Wo denn? Der gepostete Text zeigt, dass Du die AVZ-Anleitung nicht gelesen/verstanden hast. Bitte noch mal Log MBAM sieht sauber aus. Hatte schon öfter mal eine Datei hochgeladen und somit an Beiträge angehängt - beseht denn diese Möglichkeit nicht mehr oder sehe ich es bloß nicht??? Sehe gar keine von Dir angehängte Datei... Der Beitrag wurde von Rene-gad bearbeitet: 01.11.2013, 09:00 -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
01.11.2013, 10:02
Beitrag
#11
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 474 Mitglied seit: 07.10.2006 Mitglieds-Nr.: 5.419 Betriebssystem: Windows 7 Prof. 64 bit Virenscanner: G-DATA TP Firewall: Fritz!Box 7490 |
@ Rene-gad
Denke mal schon, dass ich die Anleitung verstanden und korrekt durchgeführt habe - das Problem ist, dass ich bei rokop NICHT MEHR DIE MÖGLICHKEIT FINDE, die Log-Dateien hochzuladen. die Logdateien, gibt es im zip Format als auch virusinfo_syscheck.htm als auch virusinfo_syscure.htm ... jeweils auch als *.xml und eben *.zip virusinfo_autoquarantine.zip (dieses nur als zip) Hast du eine Idee, wie ich Dir die Dateien zukommen lassen kann oder weshalb ich die Möglichkeit bei rokop nicht mehr angezeigt bekomme? Mit besten Grüßen Estarina |
|
|
01.11.2013, 14:21
Beitrag
#12
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.095 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
Denke mal schon, dass ich die Anleitung verstanden und korrekt durchgeführt habe - das Problem ist, dass ich bei rokop NICHT MEHR DIE MÖGLICHKEIT FINDE, die Log-Dateien hochzuladen. Mag sein! Habe nicht darüber gedacht, sorry, bitte nur die KL_Syscure.zip über ein File-Sharing-Server (z.B. rapidshare.com) uploaden und den DL-Link hier posten -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
01.11.2013, 16:27
Beitrag
#13
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 474 Mitglied seit: 07.10.2006 Mitglieds-Nr.: 5.419 Betriebssystem: Windows 7 Prof. 64 bit Virenscanner: G-DATA TP Firewall: Fritz!Box 7490 |
@ Rene-gad
KL_Syscure.zip habe ich nicht im LOG Ordner gefunden, aber auch sonst nirgends http://rapidshare.com/share/3BC81CCBEF4DB252F3CE424E29CE8901 Bitte mal anschauen. Mit besten Grüßen Estarina |
|
|
02.11.2013, 10:51
Beitrag
#14
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.095 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
Kann nichts finden, was ein solches Verhalten verursachen könnte. Hast Du in der letzten Zeit neue Hard/Software installiert?
hätte ja sein können, das ich letztens einen vergessen habe Eben der letzte Punkt ist Windows XP-spezifisch. Der Beitrag wurde von Rene-gad bearbeitet: 02.11.2013, 10:52 -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
02.11.2013, 12:17
Beitrag
#15
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 474 Mitglied seit: 07.10.2006 Mitglieds-Nr.: 5.419 Betriebssystem: Windows 7 Prof. 64 bit Virenscanner: G-DATA TP Firewall: Fritz!Box 7490 |
@ Rene-gad
Vielen, vielen dank, dass du es durchgeschaut hast Habe in letzter Zeit nichts installiert und auch keine neue Hardware. Der Windows-XP spezifische Registry Eintrag war i.O. Eintrag war korrekt "Userinit="C:\WINDOWS\SYSTEM32\USERINIT.EXE," Und nun? Der Ordner "C:\Dokumente und Einstellungen\Benutzername" öffnet zeitverzögert beim Rechnerneustart. Mit besten Grüßen Eure Estarina |
|
|
03.11.2013, 08:46
Beitrag
#16
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.095 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
Hmm, k.A.
Schaue bitte noch was im Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell" geschrieben ist, es muss nur explorer.exe sein. -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
03.11.2013, 11:09
Beitrag
#17
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 474 Mitglied seit: 07.10.2006 Mitglieds-Nr.: 5.419 Betriebssystem: Windows 7 Prof. 64 bit Virenscanner: G-DATA TP Firewall: Fritz!Box 7490 |
Ja, der Eintrag in dem von Dir genannten Schlüssel ist ebenfalls korrekt - nur explorer.exe
Wirklich merkwürdig. Ich danke Dir ganz sehr für deine vielen Tipps und Mühe. Eure Estarina |
|
|
03.11.2013, 12:23
Beitrag
#18
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 232 Mitglied seit: 14.11.2009 Mitglieds-Nr.: 7.835 Betriebssystem: osx, win, linux Virenscanner: was so kommt |
Gerade das zeitverzögert bringt mich wieder auf den G Data Autostartmanager - alles andere ist doch ein direkter Start...
Passiert das ganze denn auch, wenn du diesen Autostart mal deaktivierst? O4 - HKLM\..\Run: [G Data ASM] "C:\Programme\G DATA\TotalProtection\DelayLoader\AutorunDelayLoader.exe" /autostart |
|
|
03.11.2013, 17:18
Beitrag
#19
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 474 Mitglied seit: 07.10.2006 Mitglieds-Nr.: 5.419 Betriebssystem: Windows 7 Prof. 64 bit Virenscanner: G-DATA TP Firewall: Fritz!Box 7490 |
@ Kevin3002
Danke Dir, habe noch einmal geschaut der Eintrag hängt bestimmt mit Quick Time zusammen - habe ich unter Autostart mit Zeitverzögerung in G--DATA TotalProtection. Ja - liegt an Quick Time - habe dies in Autostart ohne Zeitverzögerung geschoben, gespeichert und Hijack this neu dann fiel genau der Eintrag raus. Hängt also leider nicht mit Ordner Dokumente und Einstellungen zusammen :-( Mit besten Grüßen Eure Estarina |
|
|
03.11.2013, 22:12
Beitrag
#20
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.560 Mitglied seit: 19.07.2008 Wohnort: Österreich Mitglieds-Nr.: 6.967 Betriebssystem: Windows 10 (Home, 64 bit) Virenscanner: Windows Defender Firewall: Router / Windows-Firewall |
Manchmal hilft es bei Computerproblemen weiter, wenn man mit den englischen Begriffen nach Lösungen sucht.
Versuche es mal zB. bei Google mit "Documents and Settings" (das entspricht unserem "Dokumente und Einstellungen"), allenfalls kombiniert mit Begriffen wie "opens" und "startup". Ich habe da zB. Folgendes gefunden: "Documents and Settings Folder opening on Startup": http://forums.techguy.org/windows-xp/10442...ng-startup.html Das Problem konnte beim dem Nutzer letztlich gelöst werden. Wie genau - dazu müsstest du dir den dortigen Thread selbst durchsehen. Mir war das jetzt zu langwierig. Oder hier noch eine Anleitung von Microsoft selbst. Die bezieht sich allerdings darauf, dass sich der Ordner "Eigene Dateien" ("Documents") immer beim Start öffnet, also ein anderer Ordner als bei dir! (Außerdem bezieht sich der Artikel auf die Version von Windwos XP mit SP1.) Zumindest ansehen könntest du dir aber den dort erwähnten Registry-Eintrag: - in schlechter deutscher Übersetzung: http://support.microsoft.com/kb/555294 - oder dasselbe in Englisch: http://support.microsoft.com/kb/555294/en-us Ansonsten: Bei Google weitersuchen. Es gibt noch mehr zu den genannten Suchbegriffen. Mit Glück könnte etwas Passendes dabei sein. Der Beitrag wurde von Peter 123 bearbeitet: 03.11.2013, 22:21 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 02.11.2024, 00:22 |