Bitte Begutachtet mal die 7 Registry Einträge

Dieses Thema Bitte Begutachtet mal die 7 Registry Einträge im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von gelöschte Person, 28. Apr. 2008.

Thema: Bitte Begutachtet mal die 7 Registry Einträge Hallo Leute, Ich knüpfe jetzt von diesem Thread noch einmal an...

  1. Hallo Leute,

    Ich knüpfe jetzt von diesem Thread noch einmal an
    http://www.wintotal-forum.de/index.php/topic,144255.0.html

    Vorgeschichte nach der Säuberung.

    Es kommt jetzt bei dem älteren Herr immer (besser gesagt fast immer) wenn er IE oder FF öffnet, ein Popup Fenster von www.syskontroller. com.
    Welche sich nie zu ende lädt, sondern nur die Internetadresse rechts unten in der Leiste bemerkbar macht.

    Jetzt habe ich noch einmal seine Log-Datei von HiJackThis begutachtet und stief auf folgende Einträge.

    Code:
    R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    
    O4 - HKLM\..\Run: [ff478044] rundll32.exe C:\WINDOWS\system32\oafayghv.dll,b
    
    O11 - Options group: [INTERNATIONAL] International*
    
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - [url]http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab[/url]
    
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url]http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175787824156[/url]
    
    O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\PROGRA~1\Firebird\FIREBI~1\bin\fbguard.exe
    
    O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
    Frage, kann einer diese einordnen, bzw. erklären von welchen Programm es sein könnte?
    Manche kann ich zwar selber ausschließen, Wie Kaspersky, Microsoft und eigentlich auch wdfmgr.exe (WMP10 und höher).

    Was mich stutzig macht, sind die Eintrage O4, O11 und O23.
     
  2. Werbeeinblendungen kannst du über die HOSTS Datei bearbeiten.


    Yahoo Messenger Toolbar (yt.dll)
    sehr bedenklich ?:)
    Eintrag ist normal, weil es sich um den IE7 handelt
    kaspersky.com
    Microsoft Update
    InterBase Server Guardian (Firebird Server), Borland InterBase Datenbank
    Windows User Mode Driver Manager von Microsoft Windows Media Player 10, um Kompatibilitätsprobleme zu verringern und gehört zu Windows Driver Foundation.
    Dienst unter 2000/XP/2003/Vista.

    pan_fee
     
  3. Recht herzlichen Dank pan_fee.

    Der Tag ist gerettet.[br][br]Erstellt am: 29.04.08 um 13:06:30[hr][br]
    Hallo pan_fee

    unter der Datei HOSTS ist nur ein Eintrag und zwar
    127.0.0.0 localhost

    weiter nichts.

    Der älter Herr hat auch noch Firefox und Opera drauf.
    Die Cookies laufen bei Firefox auf Cookies.txt

    Dort soll Firefox die Cookies abspeichern.
    In die TXT Datei fand ich syskontroller.com und auch andere.
    C:\Dokumente und Einstellungen\W....(Name)\Anwendungsdaten\Mozilla\Firefox\Profiles\(Hieroglyphen)\cookies.txt
    Hab sie jetzt gelöscht, bis dato ist es nicht wieder gekommen bzw. der Herr hat noch keine Mail mir geschickt.

    NACHTRAG1: Der Herr hatte mir eine Email geschickt, und der PC sei jetzt von syskontroller.com befreit.
    Es war die Cookies.txt von Firefox gewesen.

    NACHTRAG2:
    Ich glaube ich werde nicht mehr,
    AVAST 4.8 Home schlägt jetzt mehrmals Alarm.
    Schädling: W32:TratBHO[trj] mit dem neuen Virenupdate vom 28.04.2008
    im Ordner c:\windows\system32
    folgende Dateien
    qcphvbeh.dll
    wvUNfDSm.dll
    ddcdvwnd.dll
    ddcDrWNd.dll
    rqrjdtsr.dll
    tmmbxxxn.dll
    rqRJDtsr.dll


    Auch hier wieder ist das verblüffende, der Trojaner ist bekannt, aber nicht die Dateien, gibt man die Dateien im Google ein, findet Google 0 Treffer.

    Die Internetseite ist auch bekannt, da der ältere Herr Finanzberater ist, hatte er mal auf dieser Seite geguckt.
    www-zinsschulden-de (Strich statt Punkt)
    Zumale sagte er, es ist etwas unseriös aufgemacht.

    Als Beweislage dieses Foto von Avast von der Quarantäne
    [​IMG]
    Schärfer sofort auf meine Homepage gehen http://www.erftauen-team.de/untitled1554.bmp

    Gibt es ein Tool, welche die Systemdateien nach Trojaner prüft?
    combofix habe ich gefunden, aber hatte nichts gefunden.

    Ich glaube nämlich, das ist der Anfang erst.

    Nehmt das bitte in Eure Spyware-Liste mit auf.
     
  4. hp
    hp
    das ist nicht verblüffend, daß ist bei dieser art trojaner so. die dll dateien werden vom trojaner selber erzeugt und bekommen namen die es so nicht gibt. die qelle allen übels sind auch nicht diese dll dateien, es muß also noch andere dateien geben hinter denen sich der trojaner versteckt. leider postest du nicht das ganze hijackthis log, sondern nur ausschnitte die dir verdächtig vorkommen. so kann man aber kaum helfen, da man nicht das ganze system kennt. und wie man im avast-log sieht, hat dein bekannter schon öfter unliebsamen besuch auf seiner kiste gehabt. auch geht aus deinem post nicht hervor, wie du den trojaner beseitigt hast. ein einfacher fix des eintrags

    O4 - HKLM\..\Run: [ff478044] rundll32.exe C:\WINDOWS\system32\oafayghv.dll,b

    mit hijackthis bzw. löschen der cookies im profil des benutzers bringt nicht die lösung. wenn der trojaner im system32 ordner sitzt und darauf deutet das log von avast hin, ist der trojaner auch im wiederherstellungs ordner der systemdateien (system32\dllcache) vorhanden bzw. in der backupdatei der wiederhesrtellungsfunktion (zu finden unter system volume information folder\_restor{blablabla...) wie in deinem screenshot auch zu sehn. also mußt du die wiederherstellungsfunktion abschalten, damit die viren/trojaner ect. pp. in der wiederherstellung auch vernichtet werden. wichtiger aber ist, den trojaner selber zu finden. denn bevor der nicht beseitigt ist, wird er immer wieder aktiv. auch muß man diverse speichermedien bzw. backup-medien wie usb-stick, cd-rom, dvd etc. pp. deines bekannten prüfen. als finazfuzzi macht er sich doch sicherlich regelmäßig backups seiner daten. da ist der trojaner mit sicherheit auch drauf. da ist die gafahr groß, auch wenn man den trojaner suber vom system hat, daß durch ein zurückspielen der daten von einem speichermedium die kiste wieder infiziert wird ...

    greetz

    hugo
     
  5. Lieber HP
    1. Ich schreibe keine wahllose Eintrage hier hinein, weil es mir Spaß macht

    2. Die LOG datei ist sauber. in diese befinden sich keine Schädflinge mehr, wie du auch gleich selber feststellen wirst.

    3. Wiederherstellung ist nicht möglich, da einmal die Datei nicht existiert und auch der Punkt deaktiviert ist, und das seit knapp 2 Jahren.

    4. Wer sagt, das ich die Datei nur mit HiJackThis fixe. Das wäre ja noch schöner
    Soll ich wirklich alles hier ganz detalliert schreiben, was ich getan hab. Das würde der Platz vom Forum zum explodieren bringen.

    5. Alles andere läuft, bis dato nichts mehr.

    Den letzten Abschnitt ist zwar gut und schon. selbst die Acronis True Image Backups sind überpüft, da ist nichts.
    Letzten Backup würde am vor 2 Wochen gefahren, wird alle 4 Wochen Abstände gemacht.
    Du denkst wohl was ich gestern 14 Stunden gemacht habe?

    Wenn der Ton von mir nicht korrekt ist, dann entschluldige ich mich, aber versteh mich. Ich habe 20 Jahre Wissen.
    Zwar sagt das ncht viel, aber habe einige Computer (nicht einige, viele) auf der Art und Weise wieder fehlerfrei bekommen.

    Hier deine/eure gewünschte Logdatei.

    Nicht wundern, Wenn dort GEV und andere Programme stehen, ich schreibe es dabei, was Finanzsoftware ist.
    Die wurden auch getestet.

    Hp, ich bin kein Anfänger, ich kann auch Fehler machen, aber schau mal selbst die Logdatei an. Jede einzelne Punkt hab ich überprüft gestern, von meinen Kenntnisse, stehen keine Schädlinge mehr drin.

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 12:58:02, on 29.04.2008 
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\brsvc01a.exe [color=red](Brother Drucker)[/color]
    C:\WINDOWS\system32\brss01a.exe [color=red](Brother)[/color]
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\SCardSvr.exe [color=red](Kaan Kartenlesegerät für StarMoney)[/color]
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Programme\Gev\Adsystem\GEVLeben\GAT\cdBrennen\bin\wrapper.exe [color=red](GEV- Lebensversicherung)[/color]
    C:\Programme\Gev\Adsystem\GEVLeben\GAT\grafik\jre\bin\java.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\oodag.exe
    C:\Programme\Spyware Doctor\sdhelp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\BRMFRSMG.EXE [color=red](Brother Scanner)[/color] 
    C:\WINDOWS\system32\SearchIndexer.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\oodtray.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\Programme\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
    C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
    C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    C:\Programme\Skype\Phone\Skype.exe
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
    C:\Programme\RocketDock\RocketDock.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\InterRisk\WinRiskXA\smart\client\bin\BWUpdater.exe [color=red](Finanzsoftware)[/color]
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
    C:\Programme\InterRisk\WinRiskXA\client\bin\BWUpdater.exe [color=red](Finanzsoftware)[/color]
    C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE [color=red](Finanzsoftware)[/color]
    C:\Programme\ICONDESK\IconDesk.exe
    C:\Programme\Skype\Plugin Manager\skypePM.exe
    C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE
    C:\Programme\Mozilla Firefox\firefox.exe
    
    \server\Server 13GB\Programme\Programme\Tools -Treiber etc\Überprüfung\Hijackthis\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.koeln.de/[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;Ostangler;<local>
    O3 - Toolbar: finanzplantoolbar - {830DC4D6-F0F1-40E2-B97A-8BB25B7767A1} - C:\Programme\finanzplantoolbar\toolbar.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [GSP] C:\PROGRA~1\KOSYMA\UPDATE\ORDER.EXE JUSTCHECK
    O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
    O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] C:\Programme\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe /minimized
    O4 - HKLM\..\Run: [trueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    O4 - HKCU\..\Run: [Skype] C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized
    O4 - HKCU\..\Run: [ISUSPM] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe -scheduler
    O4 - HKCU\..\Run: [RocketDock] C:\Programme\RocketDock\RocketDock.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: ICONDESK.lnk = C:\Programme\ICONDESK\IconDesk.exe
    O4 - Global Startup: Amyuni Optionen.lnk = C:\WINDOWS\Amyopt.exe [color=red](Finanzsoftware)[/color]
    O4 - Global Startup: kqstarter.lnk = C:\Programme\Stuttgarter\.kevuSSLV\SAS\kqstarter.exe [color=red](Finanzsoftware)[/color]
    O4 - Global Startup: Logitech SetPoint.lnk = ?
    O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
    O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\preispiraten.html
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra->Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O9 - Extra button: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\preispiraten3ie.exe
    O9 - Extra->Tools' menuitem: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\preispiraten3ie.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: eBay - {E79005A3-0F92-434B-9F7B-51131FC7168F} - [url]http://www.preispiraten.de/e/tr_ebdestart.pl?http://www.ebay.de[/url] (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - [url]http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab[/url]
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [url]http://go.microsoft.com/fwlink/?linkid=39204[/url]
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url]http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175787824156[/url]
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab[/url]
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    O23 - Service: Apache Tomcat KLV - Alexandria Software Consulting - [color=red](Finanzsoftware)[/color]C:\Programme\WW\WebKIS\Tomcat\bin\tomcat.exe [color=red](Finanzsoftware)[/color]
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
    O23 - Service: BRAIN FORCE cp.isoburner.service (cp.isoburner.service) - Unknown owner - [color=red](Finanzsoftware)[/color]C:\Programme\Gev\Adsystem\GEVLeben\GAT\cdBrennen\bin\wrapper.exe
    O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\PROGRA~1\Firebird\FIREBI~1\bin\fbguard.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
    O23 - Service: InterRisk WinRisk Anwendungsdienst (WinRiskXAAppService) - Unknown owner - [color=red](Finanzsoftware)[/color]C:\Programme\InterRisk\WinRiskXA\server\bin\WinRiskXAServer.exe
    O23 - Service: InterRisk WinRisk Dienststeuerung (WinRiskXAServiceHandler) - Unknown owner - [color=red](Finanzsoftware)[/color]C:\Programme\InterRisk\WinRiskXA\client\bin\BWServiceHandler.exe
    O23 - Service: InterRisk WinRisk Smart-Client Dienststeuerung (WinRiskXASmClServiceHandler) - Unknown owner - [color=red](Finanzsoftware)[/color]C:\Programme\InterRisk\WinRiskXA\smart\client\bin\BWServiceHandler.exe
    O23 - Service: InterRisk WinRisk Smart-Client Softwareaktualisierung (WinRiskXASmClSoftwareUpdate) - BISS GmbH - [color=red](Finanzsoftware)[/color]C:\Programme\InterRisk\WinRiskXA\smart\client\bin\BWUpdater.exe
    O23 - Service: InterRisk WinRisk Softwareaktualisierung (WinRiskXASoftwareUpdate) - BISS GmbH - [color=red](Finanzsoftware)[/color]C:\Programme\InterRisk\WinRiskXA\client\bin\BWUpdater.exe
     
  6. hp
    hp
    sorry, aber wieso antwortest du so agressiv auf meinen post? ich wollte ja nur helfen. ich habe dich weder als anfänger dargestellt, noch deine kompetenz angezweifelt. da du ja alles im griff hast, endet hiermit auch mein interesse an diesem thread ...

    greetz

    hugo
     
  7. Es war klar, das du diese Antwort schreiben würdest..

    Aber als Info, die recherchen, von A-Z lassen sich unter Google finden.

    Der Firmen PC ist seit 2 Stunden an, keine Meldung, zweimal Sypware Tool drüber gejagt, noch einmal Log datei erstellt. Nichts, kein Anzeichen auf einen Schädling.

    Dennoch wünche ich dir einen schönen Tag.

    - closed -
     
  8. Hallo Friese
    das ist eine Vundo-Trojaner - Verseuchung, geht eigentlich fix zu lösen, wenn man die richtigen Proggies anwendet :)

    Combofix enthälte einen integrierten Vundoscanner, wende Combofix also an (Warnmeldung wegklicken) und poste hier das Log, was erscheint
    http://virus-protect.org/artikel/tools/combofix.html

    einige Beispiele.. von vielen (kann hier meine gesammelten Werke nicht alle posten)
    http://virus-protect.org/artikel/spyware/vundo_uwce9.html
    http://virus-protect.org/artikel/spyware/ssqpn_dll.html
     
Die Seite wird geladen...

Bitte Begutachtet mal die 7 Registry Einträge - Ähnliche Themen

Forum Datum
probleme mit windows 7 update bitte um hilfe. Windows 7 Forum 4. Nov. 2016
Bitte Hilfe :( Driver_Verifier_Detected_violation (excsd.sys) Windows 10 Forum 30. Aug. 2016
BitteHilfe was soll ich tun Windows 10 Forum 29. Mai 2016
Win 10 vorinstalliert downgrade auf Win 7, bitte um Hilfe! Windows 10 Forum 24. Feb. 2016
Neuer Rechner / PC für die Familie - bitte um Rat Hardware 1. Sep. 2015