Moinsen!
Ich hab vor 2 Tagen beim öffnen des Taskmanagers zufällig folgendes entdeckt: neben dem eigentlichen Prozess "firefox.exe" (ich war zu dem Zeitpunkt grad online) fand ich noch einen 2. Prozess namens "firefox.exe". Dieser läßt sich zwar beenden, startet nach wenigen Sekunden allerdings neu. Meine erste Vermutung war, daß mein Browser spinnt. Deshalb hab ich Firefox deinstalliert, sämtliche Ordner des Browsers gelöscht (auch die in "Dokumente und Einstellungen"), und danach ne frisch runtergeladene Version (2.0.0.7) installiert. Ich dachte, das Problem wär damit behoben da gestern Abend alles wunderbar gefunzt hat, nur als ich heute morgen mal -mißtrauisch wie ich bin- nachgeschaut habe, war da wieder ein Prozess namens "firefox.exe" direkt nach dem hochfahren zu finden. Mit der PID mal googeln hat nix gebracht, da ich für die zum Zeitpunkt des suchens gültige PID (464, in diesem Moment grad 2644) diverse andere Prozesse gefunden hab, nur nicht firefox.exe. Mit folgenden (schon vor dem Problem installierten) Programmen hab ich meinen Rechner schon erfolglos gecheckt:
-Spybot Search & Destroy -kein Fund
-Lavasoft Ad-Aware 2007 -kein Fund
-F-Secure Internet Security 2007 -kein Fund
-StartupList 2.02 -kein Autostarteintrag für firefox.exe gefunden
-Hijackthis v2.0.0 (BETA) - Logfileauswertung hat nix ergeben, hier trotzdem mal ne Kopie davon:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:35:09, on 28.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
E:\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
E:\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
E:\FolderSize\FolderSizeSvc.exe
E:\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
E:\F-Secure Internet Security\Common\FCH32.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
E:\F-Secure Internet Security\Anti-Virus\fsqh.exe
E:\F-Secure Internet Security\Common\FAMEH32.EXE
E:\F-Secure Internet Security\FSAUA\program\fsaua.exe
E:\F-Secure Internet Security\Anti-Virus\fssm32.exe
E:\F-Secure Internet Security\FWES\Program\fsdfwd.exe
E:\F-Secure Internet Security\FSAUA\program\fsus.exe
C:\WINDOWS\System32\alg.exe
E:\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\FRITZWLANMini.exe
E:\Unlocker\UnlockerAssistant.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Internet Download Manager\IDMan.exe
E:\EarthView\EarthView.exe
E:\F-Secure Internet Security\FSGUI\fsguidll.exe
E:\MOZILL~1\FIREFOX.EXE
E:\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
D:\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
E:\Lavasoft\Ad-Aware 2007\aawservice.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....ink/?linkid=677
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.micros...microsoftupdate
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explodierer
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - E:\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [amd_dc_opt] E:\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "E:\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "E:\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [LogonStudio] "E:\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [F-Secure Manager] "E:\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "E:\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] E:\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: EarthView.lnk = E:\EarthView\EarthView.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download All Links with IDM - E:\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - E:\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - Unknown owner - E:\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: Folder Size (FolderSize) - Brio - E:\FolderSize\FolderSizeSvc.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - E:\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - E:\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - E:\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
--
End of file - 8920 bytes
Ist das jetzt n hartnäckiger Virus oder doch ein Problem mit dem Fuchs? jedenfalls startet diese ominöse "firefox.exe" mit dem System und läßt sich auch nicht dauerhaft beenden. Und NEIN, ich hab keine dubiosen Seiten besucht (nur WF.de ) und auch keine Mailanhänge geöffnet.
Seite 1 von 1
Versteckt Startende Firefox.exe
#1
geschrieben 28. September 2007 - 13:36
"Das Leben ist ein Märchen. Dummerweise wird es von einem Idioten erzählt" (Shakespear)
CPU: Athlon 64 X2 6400+; Lüfter: Xigmatek HDT-S1284 Heatpipe Cooler - Achilles
GPU: XFX GF9800 GTX 760M "Black Edition"
Gigabyte GA-M59SLI-S5
RAM: A-DATA DIMM 2 GB DDR2-800 Kit (Vitesta Extreme Edition) @ 4-4-4-12
HD's: 1 x 120 GB; 3 x 250 GB; 1 x 1 TB USB-HD; 1 x 1,5 TB USB-HD
LG GSA-H12N; LG GSA-4120B
Gehäuse: Thermaltake Kandalf
Windows 7 Home Premium x64
CPU: Athlon 64 X2 6400+; Lüfter: Xigmatek HDT-S1284 Heatpipe Cooler - Achilles
GPU: XFX GF9800 GTX 760M "Black Edition"
Gigabyte GA-M59SLI-S5
RAM: A-DATA DIMM 2 GB DDR2-800 Kit (Vitesta Extreme Edition) @ 4-4-4-12
HD's: 1 x 120 GB; 3 x 250 GB; 1 x 1 TB USB-HD; 1 x 1,5 TB USB-HD
LG GSA-H12N; LG GSA-4120B
Gehäuse: Thermaltake Kandalf
Windows 7 Home Premium x64
Anzeige
#2
geschrieben 29. September 2007 - 11:00
Nein das ist kein "Virus" sondern ein Trojaner. Dein System ist offensichtlich kompromittiert und du solltest deine Internetverbindung trennen, alle wichtigen Daten extern sichern und eine Neuinstallation bzw. Wiederherstellung in Erwägung ziehen. Das Verhalten was du beschreibst wird durch so genannte "Injections" hervorgerufen, das bedeutet ein Trojaner nistet sich in einem Prozess ein (mit vorliebe Browser, bei dir zB Firefox) und verwendet diesen dann um seine aktivitäten zu tarnen. Es ist auch möglich den entsprechenden Trojaner zu entfernen ohne dein System neu aufzusetzen ALLERDINGS ist es dir NICHT möglich nachzuvollziehen was genau wie geändert wurde. Grundsätzlich gillt: Niemals einem kompromittierten System trauen, es könnte bereits einiges verändert worden sein ohne das du es weisst. Beliebte Trojaner die solch eine Injection Methode verwenden sind zB PoisonIvy oder BiFrost. Du kannst ja mal nach den beiden Googlen und dir dann auch Informationen beschaffen wie du es entfernen kannst. Allerdings nochmal in aller deutlichkeit: Ohne eine Neuinstallation kannst du dir auch nach der Entfernung NICHT sicher sein, das die integrität deines System wiederhergestellt ist.
#3 _Christian1992_
geschrieben 29. September 2007 - 17:21
*** deleted by the author ***
Dieser Beitrag wurde von Neureus bearbeitet: 09. Juli 2010 - 18:35
#4
geschrieben 29. September 2007 - 19:23
Das ist nach meiner Meinung ein Dienst
Meine Homepage - Mein Support-Forum für meine Tools
#5
geschrieben 30. September 2007 - 18:24
Zitat
Das ist nach meiner Meinung ein Dienst
Was soll mir das jetzt sagen?
Richtig, ich hab nix dubioses besucht oder geöffnet. Falls das nun wirklich ein Trojaner sein sollte, wie find ich denn nun raus, WELCHER? Und wo der sich versteckt hat. Ich meine mich zu erinnern, daß es bei AVK damals möglich war, ne bootfähige Scan-CD zu erstellen. Hab das Programm leider nicht mehr und deshalb nicht die Möglichkeit sowas durchzuführen. Und auf ein scheinbar kompromittiertes System nen anderen Virenscanner zu installieren macht ja nicht wirklich Sinn, oder?
"Das Leben ist ein Märchen. Dummerweise wird es von einem Idioten erzählt" (Shakespear)
CPU: Athlon 64 X2 6400+; Lüfter: Xigmatek HDT-S1284 Heatpipe Cooler - Achilles
GPU: XFX GF9800 GTX 760M "Black Edition"
Gigabyte GA-M59SLI-S5
RAM: A-DATA DIMM 2 GB DDR2-800 Kit (Vitesta Extreme Edition) @ 4-4-4-12
HD's: 1 x 120 GB; 3 x 250 GB; 1 x 1 TB USB-HD; 1 x 1,5 TB USB-HD
LG GSA-H12N; LG GSA-4120B
Gehäuse: Thermaltake Kandalf
Windows 7 Home Premium x64
CPU: Athlon 64 X2 6400+; Lüfter: Xigmatek HDT-S1284 Heatpipe Cooler - Achilles
GPU: XFX GF9800 GTX 760M "Black Edition"
Gigabyte GA-M59SLI-S5
RAM: A-DATA DIMM 2 GB DDR2-800 Kit (Vitesta Extreme Edition) @ 4-4-4-12
HD's: 1 x 120 GB; 3 x 250 GB; 1 x 1 TB USB-HD; 1 x 1,5 TB USB-HD
LG GSA-H12N; LG GSA-4120B
Gehäuse: Thermaltake Kandalf
Windows 7 Home Premium x64
#6
geschrieben 30. September 2007 - 19:06
So, ich hab grad nochmal die neuesten "Signaturen" für Spybot geladen. DAS ist das Ergebnis:
SpyAgent: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\unvise32.exe
Bifrose.LA: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Bifrost
Bifrose.LA: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)
Common Dialogs: History (2 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log
Log: Shutdown: System32\wbem\logs\wmiprov.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log
Ahead Nero Burning Rom: Compilation directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Ahead\Nero - Burning Rom\Settings\NeroCompilation!=
Ahead Nero Burning Rom: Last ISO directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\ahead\Nero - Burning Rom\General\OFDLastISODir!=
Ahead Nero Burning Rom: Last Video directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\ahead\Nero - Burning Rom\General\OFDLastVideoDir!=
Ahead Nero Burning Rom: Last Audio directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\ahead\Nero - Burning Rom\General\OFDLastAudioDir!=
MS Media Player: Anonymous ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0
MS Direct3D: Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name!=
MS DirectDraw: Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=
Windows.OpenWith: Open with list - .AVI extension (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.AVI\OpenWithList
Windows.OpenWith: Open with list - .BMP extension (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BMP\OpenWithList
Windows.OpenWith: Open with list - .BZ2 extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BZ2\OpenWithList
Windows.OpenWith: Open with list - .CDA extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CDA\OpenWithList
Windows.OpenWith: Open with list - .CUE extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CUE\OpenWithList
Windows Explorer: Stream history (16 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU
Windows Explorer: User Assistant history IE (23 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count
Windows Explorer: User Assistant history files (245 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
Windows Explorer: Last visited history (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU
Windows Explorer: Last Copy/MoveTo folder (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CopyMoveTo\LastFolder
Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName
Windows Media SDK: Unique ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}
Windows Media SDK: Volume serial number (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber
Cookie: Cookie (1) (Cookie, nothing done)
Cache: Cache (12) (Cache, nothing done)
Cookie: Cookie (41) (Cookie, nothing done)
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-05-10 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-07-31 Tools.dll (2.1.2.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-09-26 Includes\Cookies.sbi (*)
2007-07-25 Includes\Dialer.sbi (*)
2007-09-26 Includes\DialerC.sbi (*)
2007-08-29 Includes\Hijackers.sbi (*)
2007-09-26 Includes\HijackersC.sbi (*)
2007-07-25 Includes\Keyloggers.sbi (*)
2007-09-26 Includes\KeyloggersC.sbi (*)
2007-09-12 Includes\Malware.sbi (*)
2007-09-26 Includes\MalwareC.sbi (*)
2007-09-05 Includes\PUPS.sbi (*)
2007-09-26 Includes\PUPSC.sbi (*)
2007-09-26 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-09-26 Includes\SecurityC.sbi (*)
2007-09-12 Includes\Spybots.sbi (*)
2007-09-26 Includes\SpybotsC.sbi (*)
2007-08-21 Includes\Tracks.uti (*)
2007-09-12 Includes\Trojans.sbi (*)
2007-09-26 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll
F-Secure findet übrigens immer noch nix. Es startet stattdessen ganz normal, zeigt dann für ungefähr 5 Sekunden ein Fehlfunktionssymbol im Tray an und läuft dann normal weiter. Mh. mal sehen ob ich es mit Spybot behoben bekomme.
SpyAgent: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\unvise32.exe
Bifrose.LA: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Bifrost
Bifrose.LA: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)
Common Dialogs: History (2 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log
Log: Shutdown: System32\wbem\logs\wmiprov.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log
Ahead Nero Burning Rom: Compilation directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Ahead\Nero - Burning Rom\Settings\NeroCompilation!=
Ahead Nero Burning Rom: Last ISO directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\ahead\Nero - Burning Rom\General\OFDLastISODir!=
Ahead Nero Burning Rom: Last Video directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\ahead\Nero - Burning Rom\General\OFDLastVideoDir!=
Ahead Nero Burning Rom: Last Audio directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\ahead\Nero - Burning Rom\General\OFDLastAudioDir!=
MS Media Player: Anonymous ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0
MS Direct3D: Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name!=
MS DirectDraw: Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=
Windows.OpenWith: Open with list - .AVI extension (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.AVI\OpenWithList
Windows.OpenWith: Open with list - .BMP extension (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BMP\OpenWithList
Windows.OpenWith: Open with list - .BZ2 extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BZ2\OpenWithList
Windows.OpenWith: Open with list - .CDA extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CDA\OpenWithList
Windows.OpenWith: Open with list - .CUE extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CUE\OpenWithList
Windows Explorer: Stream history (16 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU
Windows Explorer: User Assistant history IE (23 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count
Windows Explorer: User Assistant history files (245 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
Windows Explorer: Last visited history (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU
Windows Explorer: Last Copy/MoveTo folder (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CopyMoveTo\LastFolder
Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName
Windows Media SDK: Unique ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}
Windows Media SDK: Volume serial number (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-436374069-1220945662-725345543-1003\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber
Cookie: Cookie (1) (Cookie, nothing done)
Cache: Cache (12) (Cache, nothing done)
Cookie: Cookie (41) (Cookie, nothing done)
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-05-10 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-07-31 Tools.dll (2.1.2.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-09-26 Includes\Cookies.sbi (*)
2007-07-25 Includes\Dialer.sbi (*)
2007-09-26 Includes\DialerC.sbi (*)
2007-08-29 Includes\Hijackers.sbi (*)
2007-09-26 Includes\HijackersC.sbi (*)
2007-07-25 Includes\Keyloggers.sbi (*)
2007-09-26 Includes\KeyloggersC.sbi (*)
2007-09-12 Includes\Malware.sbi (*)
2007-09-26 Includes\MalwareC.sbi (*)
2007-09-05 Includes\PUPS.sbi (*)
2007-09-26 Includes\PUPSC.sbi (*)
2007-09-26 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-09-26 Includes\SecurityC.sbi (*)
2007-09-12 Includes\Spybots.sbi (*)
2007-09-26 Includes\SpybotsC.sbi (*)
2007-08-21 Includes\Tracks.uti (*)
2007-09-12 Includes\Trojans.sbi (*)
2007-09-26 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll
F-Secure findet übrigens immer noch nix. Es startet stattdessen ganz normal, zeigt dann für ungefähr 5 Sekunden ein Fehlfunktionssymbol im Tray an und läuft dann normal weiter. Mh. mal sehen ob ich es mit Spybot behoben bekomme.
"Das Leben ist ein Märchen. Dummerweise wird es von einem Idioten erzählt" (Shakespear)
CPU: Athlon 64 X2 6400+; Lüfter: Xigmatek HDT-S1284 Heatpipe Cooler - Achilles
GPU: XFX GF9800 GTX 760M "Black Edition"
Gigabyte GA-M59SLI-S5
RAM: A-DATA DIMM 2 GB DDR2-800 Kit (Vitesta Extreme Edition) @ 4-4-4-12
HD's: 1 x 120 GB; 3 x 250 GB; 1 x 1 TB USB-HD; 1 x 1,5 TB USB-HD
LG GSA-H12N; LG GSA-4120B
Gehäuse: Thermaltake Kandalf
Windows 7 Home Premium x64
CPU: Athlon 64 X2 6400+; Lüfter: Xigmatek HDT-S1284 Heatpipe Cooler - Achilles
GPU: XFX GF9800 GTX 760M "Black Edition"
Gigabyte GA-M59SLI-S5
RAM: A-DATA DIMM 2 GB DDR2-800 Kit (Vitesta Extreme Edition) @ 4-4-4-12
HD's: 1 x 120 GB; 3 x 250 GB; 1 x 1 TB USB-HD; 1 x 1,5 TB USB-HD
LG GSA-H12N; LG GSA-4120B
Gehäuse: Thermaltake Kandalf
Windows 7 Home Premium x64
#7
geschrieben 01. Oktober 2007 - 13:48
So, Spybot sagt zwar, daß die Probleme behoben wurden, aber die firefox.exe läuft trotzdem noch und nach nem Neustart findet er diesen Herrn Bifrost wieder. Lediglich der Eintrag mit der unvise32.exe ist nich mehr da
"Das Leben ist ein Märchen. Dummerweise wird es von einem Idioten erzählt" (Shakespear)
CPU: Athlon 64 X2 6400+; Lüfter: Xigmatek HDT-S1284 Heatpipe Cooler - Achilles
GPU: XFX GF9800 GTX 760M "Black Edition"
Gigabyte GA-M59SLI-S5
RAM: A-DATA DIMM 2 GB DDR2-800 Kit (Vitesta Extreme Edition) @ 4-4-4-12
HD's: 1 x 120 GB; 3 x 250 GB; 1 x 1 TB USB-HD; 1 x 1,5 TB USB-HD
LG GSA-H12N; LG GSA-4120B
Gehäuse: Thermaltake Kandalf
Windows 7 Home Premium x64
CPU: Athlon 64 X2 6400+; Lüfter: Xigmatek HDT-S1284 Heatpipe Cooler - Achilles
GPU: XFX GF9800 GTX 760M "Black Edition"
Gigabyte GA-M59SLI-S5
RAM: A-DATA DIMM 2 GB DDR2-800 Kit (Vitesta Extreme Edition) @ 4-4-4-12
HD's: 1 x 120 GB; 3 x 250 GB; 1 x 1 TB USB-HD; 1 x 1,5 TB USB-HD
LG GSA-H12N; LG GSA-4120B
Gehäuse: Thermaltake Kandalf
Windows 7 Home Premium x64
- ← Wie Sich Die Pagen ähneln
- Sicherheit
- Schwerwiegendes Problem Mit Vista - Hilfe Drigend Notwendig →
Thema verteilen:
Seite 1 von 1