Bitte Begutachtet mal die 7 Registry Einträge

  • #1
G

gelöschte Person

Guest
Hallo Leute,

Ich knüpfe jetzt von diesem Thread noch einmal an


Vorgeschichte nach der Säuberung.

Es kommt jetzt bei dem älteren Herr immer (besser gesagt fast immer) wenn er IE oder FF öffnet, ein Popup Fenster von . com.
Welche sich nie zu ende lädt, sondern nur die Internetadresse rechts unten in der Leiste bemerkbar macht.

Jetzt habe ich noch einmal seine Log-Datei von HiJackThis begutachtet und stief auf folgende Einträge.

Code: 
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [ff478044] rundll32.exe C:\WINDOWS\system32\oafayghv.dll,b

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - [url]http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab[/url]

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url]http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175787824156[/url]

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\PROGRA~1\Firebird\FIREBI~1\bin\fbguard.exe

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

Frage, kann einer diese einordnen, bzw. erklären von welchen Programm es sein könnte?
Manche kann ich zwar selber ausschließen, Wie Kaspersky, Microsoft und eigentlich auch wdfmgr.exe (WMP10 und höher).

Was mich stutzig macht, sind die Eintrage O4, O11 und O23.
 
  • #2
Friese schrieb:
ein Popup Fenster von syskontroller. com.
Zum Vergrößern anklicken....
Werbeeinblendungen kannst du über die Datei bearbeiten.

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
Zum Vergrößern anklicken....

Yahoo Messenger Toolbar (yt.dll)
O4 - HKLM\..\Run: [ff478044] rundll32.exe C:\WINDOWS\system32\oafayghv.dll,b
Zum Vergrößern anklicken....
sehr bedenklich ?:)
O11 - Options group: [INTERNATIONAL] International*
Zum Vergrößern anklicken....
Eintrag ist normal, weil es sich um den IE7 handelt
O16 - DPF: 0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75 (CKAVWebScan Object) -
Zum Vergrößern anklicken....
kaspersky.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
Zum Vergrößern anklicken....
Microsoft Update
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\PROGRA~1\Firebird\FIREBI~1\bin\fbguard.exe
Zum Vergrößern anklicken....
InterBase Server Guardian (Firebird Server), Borland InterBase Datenbank
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
Zum Vergrößern anklicken....
Windows User Mode Driver Manager von Microsoft Windows Media Player 10, um Kompatibilitätsprobleme zu verringern und gehört zu Windows Driver Foundation.
Dienst unter 2000/XP/2003/Vista.

pan_fee
 
  • #3
Recht herzlichen Dank pan_fee.

Der Tag ist gerettet.[br][br]Erstellt am: 29.04.08 um 13:06:30
[br]
PCDpan_fee schrieb:
Friese schrieb:
ein Popup Fenster von syskontroller. com.
Zum Vergrößern anklicken....
Werbeeinblendungen kannst du über die Datei bearbeiten.
Zum Vergrößern anklicken....

Hallo pan_fee

unter der Datei HOSTS ist nur ein Eintrag und zwar
127.0.0.0 localhost

weiter nichts.

Der älter Herr hat auch noch Firefox und Opera drauf.
Die Cookies laufen bei Firefox auf Cookies.txt

Dort soll Firefox die Cookies abspeichern.
In die TXT Datei fand ich syskontroller.com und auch andere.
C:\Dokumente und Einstellungen\W....(Name)\Anwendungsdaten\Mozilla\Firefox\Profiles\(Hieroglyphen)\cookies.txt
Hab sie jetzt gelöscht, bis dato ist es nicht wieder gekommen bzw. der Herr hat noch keine Mail mir geschickt.

NACHTRAG1: Der Herr hatte mir eine Email geschickt, und der PC sei jetzt von syskontroller.com befreit.
Es war die Cookies.txt von Firefox gewesen.

NACHTRAG2:
Ich glaube ich werde nicht mehr,
AVAST 4.8 Home schlägt jetzt mehrmals Alarm.
Schädling: W32:TratBHO[trj] mit dem neuen Virenupdate vom 28.04.2008
im Ordner c:\windows\system32
folgende Dateien
qcphvbeh.dll
wvUNfDSm.dll
ddcdvwnd.dll
ddcDrWNd.dll
rqrjdtsr.dll
tmmbxxxn.dll
rqRJDtsr.dll

Auch hier wieder ist das verblüffende, der Trojaner ist bekannt, aber nicht die Dateien, gibt man die Dateien im Google ein, findet Google 0 Treffer.

Die Internetseite ist auch bekannt, da der ältere Herr Finanzberater ist, hatte er mal auf dieser Seite geguckt.
www-zinsschulden-de (Strich statt Punkt)
Zumale sagte er, es ist etwas unseriös aufgemacht.

Als Beweislage dieses Foto von Avast von der Quarantäne
untitled1554.bmp

Schärfer sofort auf meine Homepage gehen

Gibt es ein Tool, welche die Systemdateien nach Trojaner prüft?
combofix habe ich gefunden, aber hatte nichts gefunden.

Ich glaube nämlich, das ist der Anfang erst.

Nehmt das bitte in Eure Spyware-Liste mit auf.
 
  • #4
Auch hier wieder ist das verblüffende, der Trojaner ist bekannt, aber nicht die Dateien, gibt man die Dateien im Google ein, findet Google 0 Treffer.
Zum Vergrößern anklicken....

das ist nicht verblüffend, daß ist bei dieser art trojaner so. die dll dateien werden vom trojaner selber erzeugt und bekommen namen die es so nicht gibt. die qelle allen übels sind auch nicht diese dll dateien, es muß also noch andere dateien geben hinter denen sich der trojaner versteckt. leider postest du nicht das ganze hijackthis log, sondern nur ausschnitte die dir verdächtig vorkommen. so kann man aber kaum helfen, da man nicht das ganze system kennt. und wie man im avast-log sieht, hat dein bekannter schon öfter unliebsamen besuch auf seiner kiste gehabt. auch geht aus deinem post nicht hervor, wie du den trojaner beseitigt hast. ein einfacher fix des eintrags

O4 - HKLM\..\Run: [ff478044] rundll32.exe C:\WINDOWS\system32\oafayghv.dll,b

mit hijackthis bzw. löschen der cookies im profil des benutzers bringt nicht die lösung. wenn der trojaner im system32 ordner sitzt und darauf deutet das log von avast hin, ist der trojaner auch im wiederherstellungs ordner der systemdateien (system32\dllcache) vorhanden bzw. in der backupdatei der wiederhesrtellungsfunktion (zu finden unter system volume information folder\_restor{blablabla...) wie in deinem screenshot auch zu sehn. also mußt du die wiederherstellungsfunktion abschalten, damit die viren/trojaner ect. pp. in der wiederherstellung auch vernichtet werden. wichtiger aber ist, den trojaner selber zu finden. denn bevor der nicht beseitigt ist, wird er immer wieder aktiv. auch muß man diverse speichermedien bzw. backup-medien wie usb-stick, cd-rom, dvd etc. pp. deines bekannten prüfen. als finazfuzzi macht er sich doch sicherlich regelmäßig backups seiner daten. da ist der trojaner mit sicherheit auch drauf. da ist die gafahr groß, auch wenn man den trojaner suber vom system hat, daß durch ein zurückspielen der daten von einem speichermedium die kiste wieder infiziert wird ...

greetz

hugo
 
  • #5
Lieber HP
1. Ich schreibe keine wahllose Eintrage hier hinein, weil es mir Spaß macht

2. Die LOG datei ist sauber. in diese befinden sich keine Schädflinge mehr, wie du auch gleich selber feststellen wirst.

3. Wiederherstellung ist nicht möglich, da einmal die Datei nicht existiert und auch der Punkt deaktiviert ist, und das seit knapp 2 Jahren.

mit hijackthis bzw. löschen der cookies im profil des benutzers bringt nicht die lösung
Zum Vergrößern anklicken....
4. Wer sagt, das ich die Datei nur mit HiJackThis fixe. Das wäre ja noch schöner
Soll ich wirklich alles hier ganz detalliert schreiben, was ich getan hab. Das würde der Platz vom Forum zum explodieren bringen.

5. Alles andere läuft, bis dato nichts mehr.

Den letzten Abschnitt ist zwar gut und schon. selbst die Acronis True Image Backups sind überpüft, da ist nichts.
Letzten Backup würde am vor 2 Wochen gefahren, wird alle 4 Wochen Abstände gemacht.
Du denkst wohl was ich gestern 14 Stunden gemacht habe?

Wenn der Ton von mir nicht korrekt ist, dann entschluldige ich mich, aber versteh mich. Ich habe 20 Jahre Wissen.
Zwar sagt das ncht viel, aber habe einige Computer (nicht einige, viele) auf der Art und Weise wieder fehlerfrei bekommen.

Hier deine/eure gewünschte Logdatei.

Nicht wundern, Wenn dort GEV und andere Programme stehen, ich schreibe es dabei, was Finanzsoftware ist.
Die wurden auch getestet.

Hp, ich bin kein Anfänger, ich kann auch Fehler machen, aber schau mal selbst die Logdatei an. Jede einzelne Punkt hab ich überprüft gestern, von meinen Kenntnisse, stehen keine Schädlinge mehr drin.

Code: 
Logfile of HijackThis v1.99.1
Scan saved at 12:58:02, on 29.04.2008 
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe [color=red](Brother Drucker)[/color]
C:\WINDOWS\system32\brss01a.exe [color=red](Brother)[/color]
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe [color=red](Kaan Kartenlesegerät für StarMoney)[/color]
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Gev\Adsystem\GEVLeben\GAT\cdBrennen\bin\wrapper.exe [color=red](GEV- Lebensversicherung)[/color]
C:\Programme\Gev\Adsystem\GEVLeben\GAT\grafik\jre\bin\java.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\BRMFRSMG.EXE [color=red](Brother Scanner)[/color] 
C:\WINDOWS\system32\SearchIndexer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\oodtray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterRisk\WinRiskXA\smart\client\bin\BWUpdater.exe [color=red](Finanzsoftware)[/color]
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\InterRisk\WinRiskXA\client\bin\BWUpdater.exe [color=red](Finanzsoftware)[/color]
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE [color=red](Finanzsoftware)[/color]
C:\Programme\ICONDESK\IconDesk.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe

\server\Server 13GB\Programme\Programme\Tools -Treiber etc\Überprüfung\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.koeln.de/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;Ostangler;<local>
O3 - Toolbar: finanzplantoolbar - {830DC4D6-F0F1-40E2-B97A-8BB25B7767A1} - C:\Programme\finanzplantoolbar\toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [GSP] C:\PROGRA~1\KOSYMA\UPDATE\ORDER.EXE JUSTCHECK
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] C:\Programme\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe /minimized
O4 - HKLM\..\Run: [trueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKCU\..\Run: [Skype] C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized
O4 - HKCU\..\Run: [ISUSPM] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe -scheduler
O4 - HKCU\..\Run: [RocketDock] C:\Programme\RocketDock\RocketDock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: ICONDESK.lnk = C:\Programme\ICONDESK\IconDesk.exe
O4 - Global Startup: Amyuni Optionen.lnk = C:\WINDOWS\Amyopt.exe [color=red](Finanzsoftware)[/color]
O4 - Global Startup: kqstarter.lnk = C:\Programme\Stuttgarter\.kevuSSLV\SAS\kqstarter.exe [color=red](Finanzsoftware)[/color]
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra->Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\preispiraten3ie.exe
O9 - Extra->Tools' menuitem: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\preispiraten3ie.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - {E79005A3-0F92-434B-9F7B-51131FC7168F} - [url]http://www.preispiraten.de/e/tr_ebdestart.pl?http://www.ebay.de[/url] (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - [url]http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab[/url]
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [url]http://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url]http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175787824156[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab[/url]
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Apache Tomcat KLV - Alexandria Software Consulting - [color=red](Finanzsoftware)[/color]C:\Programme\WW\WebKIS\Tomcat\bin\tomcat.exe [color=red](Finanzsoftware)[/color]
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: BRAIN FORCE cp.isoburner.service (cp.isoburner.service) - Unknown owner - [color=red](Finanzsoftware)[/color]C:\Programme\Gev\Adsystem\GEVLeben\GAT\cdBrennen\bin\wrapper.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\PROGRA~1\Firebird\FIREBI~1\bin\fbguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: InterRisk WinRisk Anwendungsdienst (WinRiskXAAppService) - Unknown owner - [color=red](Finanzsoftware)[/color]C:\Programme\InterRisk\WinRiskXA\server\bin\WinRiskXAServer.exe
O23 - Service: InterRisk WinRisk Dienststeuerung (WinRiskXAServiceHandler) - Unknown owner - [color=red](Finanzsoftware)[/color]C:\Programme\InterRisk\WinRiskXA\client\bin\BWServiceHandler.exe
O23 - Service: InterRisk WinRisk Smart-Client Dienststeuerung (WinRiskXASmClServiceHandler) - Unknown owner - [color=red](Finanzsoftware)[/color]C:\Programme\InterRisk\WinRiskXA\smart\client\bin\BWServiceHandler.exe
O23 - Service: InterRisk WinRisk Smart-Client Softwareaktualisierung (WinRiskXASmClSoftwareUpdate) - BISS GmbH - [color=red](Finanzsoftware)[/color]C:\Programme\InterRisk\WinRiskXA\smart\client\bin\BWUpdater.exe
O23 - Service: InterRisk WinRisk Softwareaktualisierung (WinRiskXASoftwareUpdate) - BISS GmbH - [color=red](Finanzsoftware)[/color]C:\Programme\InterRisk\WinRiskXA\client\bin\BWUpdater.exe
 
  • #6
sorry, aber wieso antwortest du so agressiv auf meinen post? ich wollte ja nur helfen. ich habe dich weder als anfänger dargestellt, noch deine kompetenz angezweifelt. da du ja alles im griff hast, endet hiermit auch mein interesse an diesem thread ...

greetz

hugo
 
  • #7
hp schrieb:
sorry, aber wieso antwortest du so agressiv auf meinen post? ich wollte ja nur helfen. ich habe dich weder als anfänger dargestellt, noch deine kompetenz angezweifelt. da du ja alles im griff hast, endet hiermit auch mein interesse an diesem thread ...

greetz

hugo
Zum Vergrößern anklicken....

Es war klar, das du diese Antwort schreiben würdest..

Aber als Info, die recherchen, von A-Z lassen sich unter Google finden.

Der Firmen PC ist seit 2 Stunden an, keine Meldung, zweimal Sypware Tool drüber gejagt, noch einmal Log datei erstellt. Nichts, kein Anzeichen auf einen Schädling.

Dennoch wünche ich dir einen schönen Tag.

- closed -
 
  • #8
Hallo Friese
das ist eine Vundo-Trojaner - Verseuchung, geht eigentlich fix zu lösen, wenn man die richtigen Proggies anwendet :)

Combofix enthälte einen integrierten Vundoscanner, wende Combofix also an (Warnmeldung wegklicken) und poste hier das Log, was erscheint


einige Beispiele.. von vielen (kann hier meine gesammelten Werke nicht alle posten)

 
Thema:

Bitte Begutachtet mal die 7 Registry Einträge

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.493
Neuestes Mitglied
Flensburg45
Oben