Jump to content


Photo

Emsisoft Anti-Malware, funktoniert nicht richtig bei mir !


  • Please log in to reply
35 replies to this topic

#1 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 01 July 2012 - 09:31 PM

Hallo, ich nehme an das Emsisoft Anti-Malware, nicht richtig funktoniert bei mir.

Warum ?

Beim booten des Rechners, nur beim booten kommt die Sprechblase Emsisoft Anti-Malware währe nicht aktiv ( kommt praktisch vom Sicherheitscenter ) dauert nur 10 bis 20 Sekunden, dan ist der Spuck vorbei.

Beim dursuchen meinem Systems, friert der scann ab und zu ein, ( nicht immer, eher selten ) meistens schon bei der Rootkits suche ein.

Und mache ich den scan mit der Option direkten Festplattenzugriff verwenden, friert er immer ein, so bei ca 73, oder 75 %.

Ich habe hier Windows Xp home laufen, ich hoffe mit allen Updates.

Woran könnte das liegen ?

#2 Christian Peters

Christian Peters

    Forum Veteran

  • Emsisoft Employee
  • 1199 posts

Posted 02 July 2012 - 05:22 PM

Hallo Cat,

die Meldung des Wartungsscenter ist normal nach dem starten des Rechners. Dies kann bis zu einer Minute dauern, je nachdem wann der Service registriert ist und so das Wartungscenter erkennt das Emsisoft Anti-Malware aktiv ist.

Ist das Servicepack 3 auf dem Windows XP installiert? Bitte einmal Windowstaste + r drücken. In das Eingabefeld bitte winver eingeben und OK drücken. Welche Windowsversion und Servicepack werden in dem Fenster angezeigt? Sie können auch gern einen Screenshot des kleinen Fensters anfertigen und das Bild hier an das Ticket anhängen.
Christian Peters [Support]
Emsisoft Team - www.emsisoft.com

#3 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 02 July 2012 - 06:04 PM

Hallo Cat,

die Meldung des Wartungsscenter ist normal nach dem starten des Rechners. Dies kann bis zu einer Minute dauern, je nachdem wann der Service registriert ist und so das Wartungscenter erkennt das Emsisoft Anti-Malware aktiv ist.

Ist das Servicepack 3 auf dem Windows XP installiert? Bitte einmal Windowstaste + r drücken. In das Eingabefeld bitte winver eingeben und OK drücken. Welche Windowsversion und Servicepack werden in dem Fenster angezeigt? Sie können auch gern einen Screenshot des kleinen Fensters anfertigen und das Bild hier an das Ticket anhängen.



Hallo, ich nehme an das ich alle Updates habe.

#4 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 02 July 2012 - 07:55 PM

...was ich natürlich nicht 100% ausschliesen kann, das vielleicht doch eine infektion, dahinter stecken könnte das EMSISOFT Anti-Malware nicht richtig funktoniert bei mir. So mal als Gedanke, von mir dazu. Kann sein muß nicht sein.

Cat

#5 Christian Peters

Christian Peters

    Forum Veteran

  • Emsisoft Employee
  • 1199 posts

Posted 02 July 2012 - 08:50 PM

Hallo Cat,

bitte einmal Anti-Malware öffnen und links im Menü PC Scannen auswählen. Dann bitte Eigener Scan auswählen und die Optionen Scanne nach aktiven Rootkits und Direkten Festplattenzugriff verwenden deaktivieren. Dann bitte den Scan starten. Stürzt der Scan wieder ab?
Christian Peters [Support]
Emsisoft Team - www.emsisoft.com

#6 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 02 July 2012 - 10:27 PM

Ja, so leuft das durchsuchen, problemlos durch so wie es sein soll.

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 02.07.2012 22:05:48
Scan Einstellungen:
Scan Methode: Eigener Scan
Objekte: Speicher, Traces, C:\, D:\, E:\
Archiv Scan: An
ADS Scan: An
Scan Beginn: 02.07.2012 22:08:14

Gescannt 531708
Gefunden 0
Scan Ende: 02.07.2012 23:23:43
Scan Zeit: 1:15:29

Woran könnte es noch liegen ?

Cat

#7 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 03 July 2012 - 07:48 PM

Vielleicht hislft das weiter :

ComboFix 12-06-28.03 - XXXXXX 03.07.2012 20:24:40.9.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.701 [GMT 2:00]
ausgeführt von:: d:\dokumente und einstellungen\XXXXXX\Desktop\XXXXXX.exe
AV: Emsisoft Anti-Malware *Disabled/Updated* {0F8591BB-342B-4493-91C3-4E948ED21255}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-06-03 bis 2012-07-03 ))))))))))))))))))))))))))))))
.
.
2012-07-01 20:45 . 2012-07-01 20:45 -------- d-----w- d:\programme\Oracle
2012-06-29 18:11 . 2012-06-29 18:22 -------- d-----w- d:\programme\UVK
2012-06-28 17:17 . 2012-06-28 17:17 -------- d-----w- d:\dokumente und einstellungen\XXXXXX\Anwendungsdaten\Malwarebytes
2012-06-28 17:16 . 2012-06-28 17:16 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-06-28 17:16 . 2012-06-28 17:16 -------- d-----w- d:\programme\Malwarebytes' Anti-Malware
2012-06-28 17:16 . 2012-06-27 09:58 22344 ----a-w- d:\windows.0\system32\drivers\mbam.sys
2012-06-27 19:09 . 2012-06-27 19:09 -------- d-----w- d:\dokumente und einstellungen\XXXXXX\Anwendungsdaten\SUPERAntiSpyware.com
2012-06-27 19:08 . 2012-06-27 19:09 -------- d-----w- d:\programme\SUPERAntiSpyware
2012-06-27 19:07 . 2012-06-27 19:07 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERSetup
2012-06-25 17:42 . 2012-06-25 17:43 8526 ----a-w- D:\cc_20120625_194250.reg
2012-06-25 17:39 . 2012-06-25 17:39 -------- d-----w- d:\programme\CCleaner
2012-06-16 22:55 . 2012-06-16 22:55 -------- d-----w- d:\dokumente und einstellungen\XXXXXX\Lokale Einstellungen\Anwendungsdaten\InstallShare
2012-06-16 19:46 . 2012-06-16 19:46 -------- d-----w- d:\dokumente und einstellungen\XXXXXX\Anwendungsdaten\EurekaLog
2012-06-16 19:35 . 2012-06-25 19:42 -------- d-----w- d:\programme\Spybot - Search & Destroy
2012-06-16 19:35 . 2012-06-25 19:39 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2012-06-15 20:47 . 2012-06-15 20:47 -------- d-----w- d:\programme\Safer Networking
2012-06-15 15:39 . 2012-06-15 15:39 -------- d-----w- d:\programme\ESET
2012-06-13 10:21 . 2012-05-11 14:40 521728 -c----w- d:\windows.0\system32\dllcache\jsdbgui.dll
2012-06-12 19:25 . 2012-06-12 19:25 -------- d-----w- d:\programme\ERUNT
2012-06-11 20:47 . 2012-06-11 20:47 -------- d-----w- d:\dokumente und einstellungen\XXXXXX\Lokale Einstellungen\Anwendungsdaten\Ilivid Player
2012-06-09 18:10 . 2012-06-09 18:10 -------- d-----w- d:\dokumente und einstellungen\XXXXXX\Anwendungsdaten\f-secure
2012-06-09 18:09 . 2012-06-09 18:09 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure
2012-06-09 18:02 . 2012-06-09 18:02 -------- d-----w- d:\dokumente und einstellungen\XXXXXX\Lokale Einstellungen\Anwendungsdaten\Sun
2012-06-09 18:02 . 2012-06-09 18:02 -------- d-----w- d:\windows.0\Sun
2012-06-09 18:01 . 2012-06-09 18:01 -------- d-----w- d:\programme\Gemeinsame Dateien\Java
2012-06-09 18:00 . 2012-06-09 18:00 -------- d-----w- d:\dokumente und einstellungen\XXXXXX\Anwendungsdaten\Oracle
2012-06-09 18:00 . 2012-05-04 17:29 143872 ----a-w- d:\windows.0\system32\javacpl.cpl
2012-06-09 18:00 . 2012-05-04 17:29 772504 ----a-w- d:\windows.0\system32\npDeployJava1.dll
2012-06-09 18:00 . 2012-05-04 17:29 687504 ----a-w- d:\windows.0\system32\deployJava1.dll
2012-06-09 17:59 . 2012-07-01 20:44 -------- d-----w- d:\programme\Java
2012-06-06 08:19 . 2012-06-06 08:19 -------- d-----w- d:\programme\Mozilla Maintenance Service
2012-06-06 08:18 . 2012-06-06 08:18 129976 ----a-w- d:\programme\Mozilla Firefox\maintenanceservice.exe
2012-06-06 08:18 . 2012-06-06 08:18 157352 ----a-w- d:\programme\Mozilla Firefox\maintenanceservice_installer.exe
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-21 13:36 . 2012-04-03 18:08 426184 ----a-w- d:\windows.0\system32\FlashPlayerApp.exe
2012-06-21 13:36 . 2012-02-29 20:39 70344 ----a-w- d:\windows.0\system32\FlashPlayerCPLApp.cpl
2012-06-04 15:35 . 2012-02-19 16:12 210968 ----a-w- d:\windows.0\system32\wuweb.dll
2012-06-04 15:35 . 2009-08-06 18:23 222448 ----a-w- d:\windows.0\system32\muweb.dll
2012-06-02 13:19 . 2012-02-19 16:12 329240 ----a-w- d:\windows.0\system32\wucltui.dll
2012-06-02 13:19 . 2012-02-19 16:12 219160 ----a-w- d:\windows.0\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-08-06 18:24 18456 ----a-w- d:\windows.0\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 18:24 15896 ----a-w- d:\windows.0\system32\wuapi.dll.mui
2012-06-02 13:19 . 2012-02-19 16:12 35864 ----a-w- d:\windows.0\system32\wups.dll
2012-06-02 13:19 . 2012-02-18 21:50 53784 ----a-w- d:\windows.0\system32\wuauclt.exe
2012-06-02 13:19 . 2009-08-06 18:24 45080 ----a-w- d:\windows.0\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 18:24 15896 ----a-w- d:\windows.0\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2002-08-29 12:00 97304 ----a-w- d:\windows.0\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 18:24 23576 ----a-w- d:\windows.0\system32\wucltui.dll.mui
2012-06-02 13:19 . 2012-02-19 16:12 577048 ----a-w- d:\windows.0\system32\wuapi.dll
2012-06-02 13:19 . 2012-02-18 21:50 1933848 ----a-w- d:\windows.0\system32\wuaueng.dll
2012-06-02 13:18 . 2012-03-11 14:29 275696 ----a-w- d:\windows.0\system32\mucltui.dll
2012-06-02 13:18 . 2012-03-11 14:29 18160 ----a-w- d:\windows.0\system32\mucltui.dll.mui
2012-05-31 13:22 . 2012-02-19 10:24 604160 ----a-w- d:\windows.0\system32\crypt32.dll
2012-05-16 15:07 . 2004-02-06 17:07 916992 ----a-w- d:\windows.0\system32\wininet.dll
2012-05-15 13:56 . 2002-08-29 12:00 1863296 ------w- d:\windows.0\system32\win32k.sys
2012-05-11 14:40 . 2002-08-29 12:00 43520 ------w- d:\windows.0\system32\licmgr10.dll
2012-05-11 14:40 . 2002-08-29 12:00 1469440 ------w- d:\windows.0\system32\inetcpl.cpl
2012-05-11 11:38 . 2012-02-19 16:12 385024 ------w- d:\windows.0\system32\html.iec
2012-05-07 15:53 . 2012-05-07 15:53 102400 ----a-w- d:\windows.0\RegBootClean.exe
2012-05-05 03:14 . 2002-08-29 12:00 2194944 ------w- d:\windows.0\system32\ntoskrnl.exe
2012-05-05 03:14 . 2002-08-29 03:41 2071424 ------w- d:\windows.0\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2012-02-18 21:50 139656 ------w- d:\windows.0\system32\drivers\rdpwd.sys
2012-06-06 08:18 . 2012-04-12 08:21 97208 ----a-w- d:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="d:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-06-26 3906432]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="d:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"Microsoft Works Update Detection"="d:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 28672]
"emsisoft anti-malware"="d:\programme\emsisoft anti-malware\a2guard.exe" [2012-07-02 3398048]
"ArcSoft Connection Service"="d:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"SunJavaUpdateSched"="d:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows.0\System32\CTFMON.EXE" [2008-04-14 15360]
.
d:\dokumente und einstellungen\XXXXXX\Startmenü\Programme\Autostart\
ERUNT AutoBackup.lnk - d:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
.
d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - d:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Secunia PSI Tray.lnk - d:\programme\Secunia\PSI\psi_tray.exe [2011-7-29 291896]
WinZip Quick Pick.lnk - d:\programme\WinZip\WZQKPICK32.EXE [2012-3-1 611144]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2011-05-04 17:54 551296 ----a-w- d:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecureBanking]
2012-05-23 18:09 364544 ----a-w- d:\programme\Secure Banking\SecureBanking.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\WINDOWS.0\\system32\\msiexec.exe"=
"c:\\av-cls\\wget.exe"= c:\\AV-CLS\\WGET.EXE
.
R1 A2DDA;A2 Direct Disk Access Support Driver;d:\programme\Emsisoft Anti-Malware\a2ddax86.sys [01.05.2012 10:36 17904]
R1 a2injectiondriver;a2injectiondriver;d:\programme\Emsisoft Anti-Malware\a2dix86.sys [01.05.2012 10:35 37856]
R1 a2util;a-squared Malware-IDS utility driver;d:\programme\Emsisoft Anti-Malware\a2util32.sys [01.05.2012 10:35 11776]
R1 SASDIFSV;SASDIFSV;d:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 18:27 12880]
R1 SASKUTIL;SASKUTIL;d:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 23:55 67664]
R2 !SASCORE;SAS Core Service;d:\programme\SUPERAntiSpyware\SASCore.exe [12.08.2011 01:38 116608]
R2 a2AntiMalware;Emsisoft Anti-Malware 6.6 - Service;d:\programme\Emsisoft Anti-Malware\a2service.exe [01.05.2012 10:35 3074896]
R2 Secunia PSI Agent;Secunia PSI Agent;d:\programme\Secunia\PSI\PSIA.exe --start-service --> d:\programme\Secunia\PSI\PSIA.exe --start-service [?]
R3 a2acc;a2acc;d:\programme\Emsisoft Anti-Malware\a2accx86.sys [01.05.2012 10:35 54072]
R3 PSI;PSI;d:\windows.0\system32\drivers\psi_mf.sys [01.09.2010 10:30 15544]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;d:\windows.0\system32\Macromed\Flash\FlashPlayerUpdateService.exe [03.04.2012 20:08 250056]
S3 MBAMProtector;MBAMProtector;d:\windows.0\system32\drivers\mbam.sys [28.06.2012 19:16 22344]
S3 MozillaMaintenance;Mozilla Maintenance Service;d:\programme\Mozilla Maintenance Service\maintenanceservice.exe [06.06.2012 10:19 129976]
S3 PsShutdownSvc;PsShutdown;d:\windows.0\system32\PSSDNSVC.EXE [19.02.2012 13:49 65536]
S3 rspSanity;rspSanity;d:\windows.0\system32\drivers\rspSanity32.sys [14.05.2012 16:14 27192]
S4 MBAMService;MBAMService;d:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [28.06.2012 19:16 655944]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - aswMBR
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-03 d:\windows.0\Tasks\Adobe Flash Player Updater.job
- d:\windows.0\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 13:36]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://www.google.com
IE: Web-Suche - d:\programme\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
FF - ProfilePath - d:\dokumente und einstellungen\XXXXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\gck24juj.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=109958&tt=060612_6_&babsrc=KW_ss&mntrId=ec958dbf00000000000000e018d428c4&q=
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=109958&tt=060612_6_
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - ec958dbf00000000000000e018d428c4
FF - user.js: extensions.BabylonToolbar_i.hardId - ec958dbf00000000000000e018d428c4
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15507
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.170:59
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-03 20:30
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwOpenFile
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(364)
d:\programme\SUPERAntiSpyware\SASWINLO.DLL
d:\windows.0\system32\NTMARTA.DLL
.
- - - - - - - > 'explorer.exe'(3940)
d:\programme\Emsisoft Anti-Malware\a2hooks32.dll
d:\windows.0\system32\webcheck.dll
d:\windows.0\system32\WS2_32.dll
d:\windows.0\system32\WS2HELP.dll
.
Zeit der Fertigstellung: 2012-07-03 20:33:22
ComboFix-quarantined-files.txt 2012-07-03 18:33
.
Vor Suchlauf: 13 Verzeichnis(se), 67.076.222.976 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 67.202.813.952 Bytes frei
.
- - End Of File - - 8A213582B94D02ED451255CA38603298



HiJackFree Logfile v4.5
Scan gespeichert um 20:42:28, am 03.07.2012
Betriebssystem: Windows XP Service Pack 3 (Windows NT 5.1.2600)
MSIE: Internet Explorer v 8.0 Service Pack 3 (8.0.6001.18702)

Aktive Prozesse:
D:\WINDOWS.0\System32\smss.exe
D:\WINDOWS.0\system32\csrss.exe
D:\WINDOWS.0\system32\winlogon.exe
D:\WINDOWS.0\system32\services.exe
D:\WINDOWS.0\system32\lsass.exe
D:\PROGRAMME\EMSISOFT ANTI-MALWARE\a2service.exe
D:\WINDOWS.0\system32\svchost.exe
D:\WINDOWS.0\system32\svchost.exe
D:\WINDOWS.0\System32\svchost.exe
D:\WINDOWS.0\System32\svchost.exe
D:\WINDOWS.0\system32\svchost.exe
D:\WINDOWS.0\system32\spoolsv.exe
D:\WINDOWS.0\System32\svchost.exe
D:\Programme\SUPERAntiSpyware\SASCORE.EXE
D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
D:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
D:\Programme\Secunia\PSI\PSIA.exe
D:\WINDOWS.0\System32\wdfmgr.exe
D:\WINDOWS.0\System32\alg.exe
D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
D:\WINDOWS.0\system32\ctfmon.exe
D:\Programme\Secunia\PSI\psi_tray.exe
D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac
D:\WINDOWS.0\explorer.exe
D:\WINDOWS.0\system32\notepad.exe
D:\WINDOWS.0\system32\NOTEPAD.EXE
D:\WINDOWS.0\system32\NOTEPAD.EXE
D:\PROGRAMME\EMSISOFT ANTI-MALWARE\a2guard.exe
D:\PROGRAMME\EMSISOFT ANTI-MALWARE\a2HiJackFree.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft...=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Links
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [emsisoft anti-malware] "d:\programme\emsisoft anti-malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [ArcSoft Connection Service] D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O7 - Regedit - Aktiv
O8 - Extra Kontextmenü Eintrag: Web-Suche - D:\Programme\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra "Tools" menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL="http://www.microsoft...er=6&ar=msnhome"
O14 - IERESET.INF: SEARCH_PAGE_URL="http://www.microsoft...=ie&ar=iesearch"
O14 - IERESET.INF: MS_START_PAGE_URL="http://www.microsoft...er=6&ar=msnhome"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.micr...heckControl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.syma...bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.mi...b?1340444198610
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.syma...n/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.mi...b?1340301507500
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: dimsntfy - D:\WINDOWS.0\
O21 - ShellServiceObjectDelayLoad: PostBootReminder -
O21 - ShellServiceObjectDelayLoad: CDBurn -
O21 - ShellServiceObjectDelayLoad: WebCheck -
O21 - ShellServiceObjectDelayLoad: SysTray -
O22 - SharedTaskScheduler: Browseui preloader - D:\WINDOWS.0\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - D:\WINDOWS.0\System32\browseui.dll
O23 - Dienst: SAS Core Service - D:\Programme\SUPERAntiSpyware\SASCORE.EXE
O23 - Dienst: Emsisoft Anti-Malware 6.6 - Service - D:\PROGRAMME\EMSISOFT ANTI-MALWARE\a2service.exe
O23 - Dienst: ArcSoft Connect Daemon - D:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Dienst: Adobe Flash Player Update Service - D:\WINDOWS.0\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Dienst: Warndienst - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Gatewaydienst auf Anwendungsebene - D:\WINDOWS.0\System32\alg.exe
O23 - Dienst: Anwendungsverwaltung - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: ASP.NET State Service - D:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Dienst: Windows Audio - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Intelligenter Hintergrundübertragungsdienst - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: Computerbrowser - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: Indexdienst - D:\WINDOWS.0\system32\cisvc.exe
O23 - Dienst: Ablagemappe - D:\WINDOWS.0\system32\clipsrv.exe
O23 - Dienst: .NET Runtime Optimization Service v2.0.50727_X86 - D:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Dienst: COM+-Systemanwendung - D:\WINDOWS.0\system32\dllhost.exe
O23 - Dienst: CryptSvc - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: DCOM-Server-Prozessstart - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: DHCP-Client - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Verwaltungsdienst für die Verwaltung logischer Datenträger - D:\WINDOWS.0\System32\dmadmin.exe
O23 - Dienst: Verwaltung logischer Datenträger - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: DNS-Client - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Automatische Konfiguration (verkabelt) - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Extensible Authentication-Protokolldienst - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Fehlerberichterstattungsdienst - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Ereignisprotokoll - D:\WINDOWS.0\system32\services.exe
O23 - Dienst: COM+-Ereignissystem - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Kompatibilität für schnelle Benutzerumschaltung - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Windows Presentation Foundation Font Cache 3.0.0.0 - D:\WINDOWS.0\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
O23 - Dienst: Hilfe und Support - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Eingabegerätezugang - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Integritätsschlüssel- und Zertifikatverwaltungsdienst - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: HTTP-SSL - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Windows CardSpace - D:\WINDOWS.0\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
O23 - Dienst: IMAPI-CD-Brenn-COM-Dienste - D:\WINDOWS.0\system32\imapi.exe
O23 - Dienst: Java Quick Starter - D:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
O23 - Dienst: Server - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: Arbeitsstationsdienst - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: TCP/IP-NetBIOS-Hilfsprogramm - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: Nachrichtendienst - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: NetMeeting-Remotedesktop-Freigabe - D:\WINDOWS.0\System32\mnmsrvc.exe
O23 - Dienst: Distributed Transaction Coordinator - D:\WINDOWS.0\System32\msdtc.exe
O23 - Dienst: Windows Installer - D:\WINDOWS.0\system32\msiexec.exe
O23 - Dienst: Netzwerk-DDE-Dienst - D:\WINDOWS.0\system32\netdde.exe
O23 - Dienst: Netzwerk-DDE-Serverdienst - D:\WINDOWS.0\system32\netdde.exe
O23 - Dienst: Anmeldedienst - D:\WINDOWS.0\system32\lsass.exe
O23 - Dienst: Netzwerkverbindungen - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Net.Tcp Port Sharing Service - D:\WINDOWS.0\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
O23 - Dienst: NLA (Network Location Awareness) - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: NT-LM-Sicherheitsdienst - D:\WINDOWS.0\System32\lsass.exe
O23 - Dienst: Wechselmedien - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: Plug & Play - D:\WINDOWS.0\system32\services.exe
O23 - Dienst: IPSEC-Dienste - D:\WINDOWS.0\system32\lsass.exe
O23 - Dienst: Geschützter Speicher - D:\WINDOWS.0\system32\lsass.exe
O23 - Dienst: PsShutdown - D:\WINDOWS.0\System32\PSSDNSVC.EXE
O23 - Dienst: Verwaltung für automatische RAS-Verbindung - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: RAS-Verbindungsverwaltung - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Sitzungs-Manager für Remotedesktophilfe - D:\WINDOWS.0\system32\sessmgr.exe
O23 - Dienst: Routing und RAS - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: RPC-Locator - D:\WINDOWS.0\System32\locator.exe
O23 - Dienst: Remoteprozeduraufruf (RPC) - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: QoS-RSVP - D:\WINDOWS.0\System32\rsvp.exe
O23 - Dienst: Sicherheitskontenverwaltung - D:\WINDOWS.0\system32\lsass.exe
O23 - Dienst: Smartcard - D:\WINDOWS.0\System32\SCardSvr.exe
O23 - Dienst: Taskplaner - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Secondary Logon - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Secunia PSI Agent - D:\Programme\Secunia\PSI\PSIA.exe
O23 - Dienst: Systemereignisbenachrichtigung - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Shellhardwareerkennung - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Druckwarteschlange - D:\WINDOWS.0\system32\spoolsv.exe
O23 - Dienst: Systemwiederherstellungsdienst - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: SSDP-Suchdienst - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Windows-Bilderfassung (WIA) - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: MS Software Shadow Copy Provider - D:\WINDOWS.0\System32\dllhost.exe
O23 - Dienst: Leistungsdatenprotokolle und Warnungen - D:\WINDOWS.0\system32\smlogsvc.exe
O23 - Dienst: Telefonie - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Terminaldienste - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Designs - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Überwachung verteilter Verknüpfungen (Client) - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: Windows User Mode Driver Framework - D:\WINDOWS.0\System32\wdfmgr.exe
O23 - Dienst: Universeller Plug & Play-Gerätehost - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Unterbrechungsfreie Stromversorgung - D:\WINDOWS.0\System32\ups.exe
O23 - Dienst: Volumeschattenkopie - D:\WINDOWS.0\System32\vssvc.exe
O23 - Dienst: Windows-Zeitgeber - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Webclient - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Windows-Verwaltungsinstrumentation - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: Portable Media Serial Number Service - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: WMI-Leistungsadapter - D:\WINDOWS.0\System32\wbem\wmiapsrv.exe
O23 - Dienst: Sicherheitscenter - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Automatic Updates - D:\WINDOWS.0\system32\svchost.exe
O23 - Dienst: Konfigurationsfreie drahtlose Verbindung - D:\WINDOWS.0\System32\svchost.exe
O23 - Dienst: Netzwerkversorgungsdienst - D:\WINDOWS.0\System32\svchost.exe



Das mit dem unterstrichen, dafür kan ich nichts.

#8 Christian Peters

Christian Peters

    Forum Veteran

  • Emsisoft Employee
  • 1199 posts

Posted 04 July 2012 - 02:54 PM

Hallo Cat,

stoppt der Scan auch wenn SUPERAntiSpyware und Malwarebytes' Anti-Malware komplett deaktiviert bzw. vom System deinstalliert sind?
Christian Peters [Support]
Emsisoft Team - www.emsisoft.com

#9 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 04 July 2012 - 06:08 PM

Hm, kann ich nciht weiter dazu sagen. Ich schalte SUAS. und MBAM aus bevor ich scannen tuhe.

Im momment arbeite ich mit der MBAM Beta, davor mit der Stabilen Version.

Ich scmeiße mal beide runter, Ok ?

Cat

#10 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 04 July 2012 - 06:51 PM

  • Nun, ich habe nun beide Programme vom meinem Rechner entfernt.
Das problem besteht weiter hin, der scan bleibt bei 63 % stehen, friert ein.

Das habe ich mit diesen Optionen, von EAM gemacht:

Eigener Scan/ alle partitionen/ Scanne nach Tracking Cokies/ direkten Festplatten zugriff verwenden.

Und nun ?

Cat

#11 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 04 July 2012 - 08:57 PM

Und wie können wir die Sache nun glatt ziehen ?

Cat

#12 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 08 July 2012 - 10:05 AM

Und nun ?

Cat

#13 Christian Peters

Christian Peters

    Forum Veteran

  • Emsisoft Employee
  • 1199 posts

Posted 09 July 2012 - 11:43 AM

Hallo Cat,

bitte einmal über den Windows Explorer in das Anti-Malware Programmverzeichnis unter C:\Programme\Emsisoft Anti-Malware\ wechslen. Befinden sich in dem Ordner Dateien mit der Endung *elf?

Falls die Dateieendungen nicht eingeblendet sind können diese im Windows Explorer über Extras/Ordneroptionen/Ansicht mit der Option "Erweiterungen bei bekannten Dateitypen ausblenen" (Haken wegnehmen) angezeigt werden.
Christian Peters [Support]
Emsisoft Team - www.emsisoft.com

#14 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 09 July 2012 - 06:39 PM

Habe ich leider nicht, habe das mit den Dateieendungen auch gecheckt, war so wie es sein sollte, kein Haken.

Cat

#15 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 12 July 2012 - 10:24 PM

...die Hilfe kann vort gesetzt werden, ....meine geduld ist am Ende.

Cat

#16 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 13 July 2012 - 08:01 PM

Wie kann ich Emsisoft richtig deinstallieren, reicht es eure unins000.exe, zu benutzen um das Programm restlos runter zu bekommen, oder brauche ich da noch ein anderes Tool dazu ?

Ich wills noch mal Neu aufspielen, und sehen was passiert....

#17 Cineatic

Cineatic

    Forum Regular

  • Members
  • PipPipPipPip
  • 163 posts
  • OS:Windows 7
  • AV:EAM 8.1.0.40
  • HIPS:OA 7.0.0.1866

Posted 15 July 2012 - 09:33 AM

Hallo,

es gibt noch ein erweitertes Tool von Emsisoft, welches du unter folgendem Link bekommst:

http://tmp.emsisoft....w/emsiclean.exe
Gruß,
Christian

#18 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 16 July 2012 - 08:41 PM

Soll ich das wirklich so machen, oder gibt es alternativen dazu.

Oder auch anders gefragt ist das der richtige Weg ?

Cat

#19 Thomas Ott

Thomas Ott

    Forum Regular

  • Emsisoft Employee
  • 360 posts
  • LocationErnstbrunn, NÖ
  • OS:Windows 7
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor Firewall
  • Other:-

Posted 17 July 2012 - 03:09 PM

Hallo Cat,

bitte von http://tmp.emsisoft....w/emsiclean.exe unseren Cleaner downloaden, am Desktop abspeichern und als Administrator ausführen.

Dann bitte den Disclaimer bestätigen und gleich wieder auf "Close Emsisoft Clean" drücken. Auf dem Desktop wird nun eine Datei "EmsiClean_Datum_Zeit" angelegt.

Die Datei bitte am besten mir per PN schicken oder auch hier an die Antwort anhängen.


Ich kann dann wenn ich die Datei habe bescheid sagen ob es sicher ist den Reinigungsvorgang durchzuführen.

Sollten noch weitere Fragen bestehen, so stehe ich gerne dafür zur Verfügung.
Best regards,

Thomas Ott [Support]
Emsisoft Team - www.emsisoft.com

#20 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 17 July 2012 - 09:53 PM

@ Thomas Ott

Habe ich gemacht.

Cat

#21 Thomas Ott

Thomas Ott

    Forum Regular

  • Emsisoft Employee
  • 360 posts
  • LocationErnstbrunn, NÖ
  • OS:Windows 7
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor Firewall
  • Other:-

Posted 18 July 2012 - 10:11 AM

Hallo Cat,

danke für die Info - bitte siehe Antwort in der PN.
Best regards,

Thomas Ott [Support]
Emsisoft Team - www.emsisoft.com

#22 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 18 July 2012 - 02:15 PM

Sie haben eine PN.

#23 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 20 July 2012 - 11:46 PM

Wir arbeiten daran ...

Cat

#24 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 21 July 2012 - 09:26 PM

Ihr Leut, ihr Leut, wir müßen langsam den Kreis rund machen, so geht das nicht.

Wen ich Emsisoft Emergency Kit - Version 2.0, Letztes Update: 21.07.2012 20:57:10 einen scan anschubse, mit der Option direkten Festplattenzugriff verwenden, friert mein System so nach 5 % ein, also wen ich Emsisoft Anti-Malware was ich ja gekauft hatte, NEU installieren sollte/will, wird das gleiche dabei rum kommen. Wen ich das nicht mach leuft der durch.

Gefunden wurde auch was, warum so verschiedene Name für die Malware, im gleichen Pfad ?


Emsisoft Emergency Kit - Version 2.0
Letztes Update: 21.07.2012 20:57:10
Scan Einstellungen:
Scan Methode: Eigener Scan
Objekte: Rootkits, Speicher, Traces, Cookies, C:\, D:\, E:\
Archiv Scan: An
ADS Scan: An
Scan Beginn: 21.07.2012 21:02:12
D:\Dokumente und Einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\e4bd074-243a6fd6 -> f_u_a\f_u_a.class gefunden: Exploit.Java.Blacole!E2
D:\Dokumente und Einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\e4bd074-243a6fd6 -> f_u_a\f_u_d.class gefunden: Exploit.Java.CVE-2012!E2
D:\Dokumente und Einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\e4bd074-243a6fd6 -> f_u_a\f_u_b.class gefunden: Exploit.Java.Blacole!E2
D:\Dokumente und Einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\e4bd074-243a6fd6 -> f_u_a\f_u_c.class gefunden: Exploit.Java.CVE-2012!E2
Gescannt 534201
Gefunden 4
Scan Ende: 21.07.2012 22:11:30
Scan Zeit: 1:09:18
D:\Dokumente und Einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\e4bd074-243a6fd6 -> f_u_a\f_u_d.class Quarantäne Exploit.Java.CVE-2012!E2
Quarantäne 1

Irgend was funkt dazwischen, so das weder Emsisoft Emergency Kit - Version 2.0, und auch Emsisoft Anti-Malware bei mir richtig funktoniert !

Malware, oder sonst was ???

#25 Thomas Ott

Thomas Ott

    Forum Regular

  • Emsisoft Employee
  • 360 posts
  • LocationErnstbrunn, NÖ
  • OS:Windows 7
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor Firewall
  • Other:-

Posted 22 July 2012 - 01:31 PM

Hallo Cat,

ich habe dir gerade auf deine private Nachricht einen Antwort geschrieben.

Es wäre wahrscheinlich Zielführender wenn wir dem Problem nur an einer Stelle auf den Grund gehen würden.

Bitte wähle selbst ob du das gerne hier im Forum oder über private Nachrichten lösen willst.

Ich wünsche noch ein schönes Restwochenende.
Best regards,

Thomas Ott [Support]
Emsisoft Team - www.emsisoft.com

#26 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 22 July 2012 - 10:05 PM

Leider hat das auch nicht geholfen, ich habe Malwarebytes' Anti-Malware deakteviert, bevor ich Emsisoft Anti-Malware istalliert hatte. Emsidoft Anti-Malware upgedatet, schnell scan gemnacht, einen Neustart gemnacht, einen vollscan angeschubst, mit direkten Festplattezugriff, und wieder bei 71 % eingefroren. Davor habe ich MBAM in die Ausnahmen hinzugefügt. Bild im Anhang. Entweder es stimmt was nicht mit meiner Festplatte, oder es steckt Malware dahinter, so das euer Programm nicht richtig leuft bei mir. Ich bin mir zimlich sicher, wen ich einen scan machen würde ohne den direkten Festplattezugriff, würde der durch gehen ohn Probleme.

So sollte es doch aussen, MBAM in die Ausnahen zu setzen, oder ?

#27 Thomas Ott

Thomas Ott

    Forum Regular

  • Emsisoft Employee
  • 360 posts
  • LocationErnstbrunn, NÖ
  • OS:Windows 7
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor Firewall
  • Other:-

Posted 23 July 2012 - 12:42 PM

Hallo Cat,

es tut mir leid dass du solche Umstände mit EAM erfahren musst. Die Ausnahme für MBAM sieht gut aus.
Der Installationsordern von Emsisoft Anti-Malware sollte auf diese Weise auch in MBAM zu den Ausnahmen hinzugefügt werden.

Du hast ganz recht, das Problem wird wahrscheinlich mit dem Scannen nach aktiven Rootkits bzw. dem direkten Festplattenzugriff zusammenhängen.
Unsere Entwickler sind weiterhin dabei das Problem zu lokalisieren und arbeiten an einer Lösung. Um herausfinden zu können ob dein Rechner wirklich von dem Problem betroffen ist, und auch gleichzeitig um feststellen zu können ob sich vielleicht noch irgendwo Malware auf dem System versteckt, sollten wir als nächsten Schritt einen "Eigenen Scan" mit EAM durchführen.

Dazu bitte einfach das Hauptfenster von EAM öffnen und "PC Scannen" auswählen. Nun bitte "Eigener Scan" auswählen und den Button "SCAN" anklicken.

Hier nun bitte die Optionen "Scanne nach aktiven Rootkits" und "Direkter Festplattenzugriff verwenden" deaktivieren und anschließend "Weiter" drücken.
Wenn der Scan bis zu Ende durchgelaufen ist, kann der entsprechende Bericht mit einem Klick auf den Button "Bericht anzeigen" gefunden werden.
Den Bericht mit der richtigen Zeit und Datumsangabe dann bitte hier an die Antwort anhängen. (Dazu kann der Button "More Reply Options" rechts unten verwendet werden.)

In der Zwischenzeit, vielen Dank für deine Geduld und die gute Zusammenarbeit.
Best regards,

Thomas Ott [Support]
Emsisoft Team - www.emsisoft.com

#28 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 23 July 2012 - 04:35 PM

Scan ist duch gelaufem, gefunden wurde auch was :)

msisoft Anti-Malware - Version 6.6
Letztes Update: 23.07.2012 15:39:43
Scan Einstellungen:
Scan Methode: Eigener Scan
Objekte: Speicher, Traces, C:\, D:\, E:\
Archiv Scan: An
ADS Scan: An
Scan Beginn: 23.07.2012 15:41:12
D:\System Volume Information\_restore{E8F19AAE-DA58-486D-9326-54B4C9F88409}\RP358\A0196589.dll gefunden: Virus.Win32.Malware!E2
Gescannt 536561
Gefunden 1
Scan Ende: 23.07.2012 17:27:19
Scan Zeit: 1:46:07
D:\System Volume Information\_restore{E8F19AAE-DA58-486D-9326-54B4C9F88409}\RP358\A0196589.dll Quarantäne Virus.Win32.Malware!E2
Quarantäne 1

#29 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 23 July 2012 - 07:21 PM

Und nun wissen wir das daß so geht ... ?!

#30 Thomas Ott

Thomas Ott

    Forum Regular

  • Emsisoft Employee
  • 360 posts
  • LocationErnstbrunn, NÖ
  • OS:Windows 7
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor Firewall
  • Other:-

Posted 24 July 2012 - 01:08 PM

Hallo Cat,

vielen Dank für deinen Scan-Bericht.

Soweit ich das sagen kann, handelt es sich hierbei um einen Fund im versteckten Windows Ordner zur Speicherung von Systemprüf- und Wiederherstellungspunkten, die durch die Windows Systemwiederherstellung angelegt worden sind. Den Wiederherstellungspunkt solltest du wenn möglich nicht wiederherstellen.

(Den Schädling in der Datei sollte man wahrscheinlich am einfachsten los werden können, indem man die Systemwiederherstellung ausschaltet, kurz wartet und dann wieder einschaltet.)

Da wir nun mit dem letzten Scan nicht nach Rootkits gesucht habe, könntest du vielleicht einmal den TDSS-Killer von Kaspersky über dein System laufen lassen: http://kaspersky-tds...er.softonic.de/
Das Tool ist kostenlos und vertrauenswürdig.

Im Moment kann ich dir als Problemlösung für den Absturz deines Rechners wenn du einen Detail Scan startest leider nur anbieten dass du stattdessen den Eigenen Scan von EAM verwendest.
Wenn du unseren Entwicklern gerne dabei helfen würdest eine Problemlösung für den Bug zu finden, so kann ich dir gerne erklären wie du Debug Log erstellen kannst indem du den Fehler reproduzierst.
Es wäre möglich dass diese Log Dateien unseren Entwicklern dabei helfen können den Fehler schneller zu lokalisieren.

Bitte entschuldige die Umstände. Sollten noch weitere Fragen bestehen, so stehe ich gerne dafür zur Verfügung.
Best regards,

Thomas Ott [Support]
Emsisoft Team - www.emsisoft.com

#31 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 24 July 2012 - 06:11 PM

Also der scan, mit TDSS-Killer war auch neagative.

Was kann ich noch machen ?

#32 Thomas Ott

Thomas Ott

    Forum Regular

  • Emsisoft Employee
  • 360 posts
  • LocationErnstbrunn, NÖ
  • OS:Windows 7
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor Firewall
  • Other:-

Posted 24 July 2012 - 06:45 PM

Hallo Cat,

vielen Dank für die Rückmeldung.

Wenn mit TDSS-Killer zusätzlich zu dem "Eigenen Scan" von Emsisoft Anti-Malware nichts gefunden wurde, so würde ich davon ausgehen, dass dein System sauber ist.
Den alten Wiederherstellungspunkt indem Malware gefunden wurde solltest du also nicht mehr brauchen. Du kannst Ihn also getrost wie oben beschrieben löschen und danach einen neuen erstellen.
Wenn du danach noch einmal einen "Eigenen Scan" mit EAM durchführst sollte nichts mehr gefunden werden.

Bis unsere Entwickler eine Lösung für das Problem gefunden haben, kann ich dir leider im Moment nur anbieten deinen Computer in Zukunft mit abgeschalteter Option "Scanne nach aktiven Rootkits" und "Direkter Festplattenzugriff verwenden" zu scannen.

Wenn du gerne dabei helfen würdest den Fehler zu finden, so kann ich dir erklären wie man Log Files mit EAM erstellen kann. Diese Log Files könnten unseren Entwicklern eventuell dabei helfen der Ursache des Problems auf die Schliche zu kommen.

Bitte entschuldige die Umstände. Sollten noch weitere Fragen bestehen, so stehe ich gerne dafür zur Verfügung.
Best regards,

Thomas Ott [Support]
Emsisoft Team - www.emsisoft.com

#33 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 24 July 2012 - 07:41 PM

Hallo, es währe besser wen ihr mir erklährt, wie man Log Files mit EAM erstellt.

#34 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 25 July 2012 - 08:50 PM

Nun so, mal als zwischenbericht von mir:

1. Nach neu installation von Emsisoft Anti-Malware startet, mein Computer langahmer, und das arbeiten, was damit einher geht ist auch langsahmer.

2. Hatte einen start mit Malwarebytes' Anti-Malware vorgenommen, in normalen Windows, nach ca 4 Sekunden, ist MBAM "ausgeknipst" worden, war ausgeschaltet, wie von geister Hand. Ein zweiter versuch, das gleiche. Nun habe ich versucht MBAM, im abgesicherten Modus zu satrten, ging einwand frei, der suchlauf wurde durchgezogen, aber keine Funde, nichts.

So dann Windows im neu gestartet, im normalen Betrieb, update war vorhanden, suchlauf gestartet, der suchlauf war ervolgreich, aber es wurd keine Malware gefunden.

3. Bin mal mit Combo Fix drüber:

ComboFix 12-06-28.03 - XXXXXXX 25.07.2012 18:27:30.20.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.644 [GMT 2:00]
ausgeführt von:: d:\dokumente und einstellungen\XXXXXXX\Desktop\XXXXXXX.exe
AV: Emsisoft Anti-Malware *Disabled/Updated* {0F8591BB-342B-4493-91C3-4E948ED21255}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-06-25 bis 2012-07-25 ))))))))))))))))))))))))))))))
.
.
2012-07-25 15:46 . 2012-07-25 15:46 -------- d-----r- d:\dokumente und einstellungen\Administrator\Eigene Dateien
2012-07-22 20:36 . 2012-07-25 16:23 -------- d-----w- d:\programme\Emsisoft Anti-Malware
2012-07-20 20:50 . 2012-07-20 21:08 -------- d-----w- D:\Test
2012-07-20 09:03 . 2012-07-20 09:03 -------- d-----w- d:\windows.0\system32\wbem\Repository
2012-07-19 13:53 . 2012-07-19 13:53 -------- d-----w- d:\programme\PrintKey2000
2012-07-17 19:28 . 2012-07-17 19:30 -------- d-----w- d:\programme\Toolbar Uninstaller
2012-07-16 21:32 . 2012-07-16 21:32 14356 ----a-w- D:\cc_20120716_233201.reg
2012-07-15 17:41 . 2012-07-15 17:41 -------- d-----w- D:\TDSSKiller_Quarantine
2012-07-15 13:56 . 2012-07-15 13:56 -------- d-sh--w- d:\dokumente und einstellungen\Administrator\PrivacIE
2012-07-14 18:39 . 2012-07-25 15:49 -------- d-----w- d:\programme\ThreatExpert Memory Scanner
2012-07-11 20:18 . 2012-07-11 20:18 -------- d-----w- D:\XZ
2012-07-10 18:00 . 2012-07-16 19:32 -------- d-----w- d:\dokumente und einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\WiseConvert
2012-07-10 18:00 . 2012-07-10 18:00 -------- d-----w- d:\dokumente und einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\Conduit
2012-07-10 18:00 . 2012-07-10 18:00 -------- d-----w- d:\dokumente und einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten emp
2012-07-10 17:59 . 2012-07-10 18:00 -------- d-----w- d:\programme\WiseConvert
2012-07-06 18:45 . 2012-07-06 18:45 -------- d-----w- d:\dokumente und einstellungen\XXXXXXX\Anwendungsdaten\Malwarebytes
2012-07-06 18:45 . 2012-07-06 18:45 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-07-06 18:45 . 2012-07-12 09:05 -------- d-----w- d:\programme\Malwarebytes' Anti-Malware
2012-07-06 18:45 . 2012-07-03 11:46 22344 ----a-w- d:\windows.0\system32\drivers\mbam.sys
2012-07-01 20:45 . 2012-07-01 20:45 -------- d-----w- d:\programme\Oracle
2012-06-29 18:11 . 2012-07-20 17:23 -------- d-----w- d:\programme\UVK
2012-06-27 19:07 . 2012-06-27 19:07 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERSetup
2012-06-25 17:42 . 2012-06-25 17:43 8526 ----a-w- D:\cc_20120625_194250.reg
2012-06-25 17:39 . 2012-06-25 17:39 -------- d-----w- d:\programme\CCleaner
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-12 17:09 . 2012-04-03 18:08 426184 ----a-w- d:\windows.0\system32\FlashPlayerApp.exe
2012-07-12 17:09 . 2012-02-29 20:39 70344 ----a-w- d:\windows.0\system32\FlashPlayerCPLApp.cpl
2012-06-13 13:55 . 2002-08-29 12:00 1866240 ------w- d:\windows.0\system32\win32k.sys
2012-06-05 15:49 . 2012-02-19 16:12 1372672 ------w- d:\windows.0\system32\msxml6.dll
2012-06-05 15:49 . 2002-08-29 12:00 1172480 ----a-w- d:\windows.0\system32\msxml3.dll
2012-06-04 15:35 . 2012-02-19 16:12 210968 ----a-w- d:\windows.0\system32\wuweb.dll
2012-06-04 15:35 . 2009-08-06 18:23 222448 ----a-w- d:\windows.0\system32\muweb.dll
2012-06-04 04:32 . 2002-08-29 12:00 152576 ----a-w- d:\windows.0\system32\schannel.dll
2012-06-02 13:19 . 2012-02-19 16:12 329240 ----a-w- d:\windows.0\system32\wucltui.dll
2012-06-02 13:19 . 2012-02-19 16:12 219160 ----a-w- d:\windows.0\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-08-06 18:24 18456 ----a-w- d:\windows.0\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 18:24 15896 ----a-w- d:\windows.0\system32\wuapi.dll.mui
2012-06-02 13:19 . 2012-02-19 16:12 35864 ----a-w- d:\windows.0\system32\wups.dll
2012-06-02 13:19 . 2012-02-18 21:50 53784 ----a-w- d:\windows.0\system32\wuauclt.exe
2012-06-02 13:19 . 2009-08-06 18:24 45080 ----a-w- d:\windows.0\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 18:24 15896 ----a-w- d:\windows.0\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2002-08-29 12:00 97304 ----a-w- d:\windows.0\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 18:24 23576 ----a-w- d:\windows.0\system32\wucltui.dll.mui
2012-06-02 13:19 . 2012-02-19 16:12 577048 ----a-w- d:\windows.0\system32\wuapi.dll
2012-06-02 13:19 . 2012-02-18 21:50 1933848 ----a-w- d:\windows.0\system32\wuaueng.dll
2012-06-02 13:18 . 2012-03-11 14:29 275696 ----a-w- d:\windows.0\system32\mucltui.dll
2012-06-02 13:18 . 2012-03-11 14:29 18160 ----a-w- d:\windows.0\system32\mucltui.dll.mui
2012-05-31 13:22 . 2012-02-19 10:24 604160 ----a-w- d:\windows.0\system32\crypt32.dll
2012-05-16 15:07 . 2004-02-06 17:07 916992 ----a-w- d:\windows.0\system32\wininet.dll
2012-05-11 14:40 . 2002-08-29 12:00 43520 ------w- d:\windows.0\system32\licmgr10.dll
2012-05-11 14:40 . 2002-08-29 12:00 1469440 ------w- d:\windows.0\system32\inetcpl.cpl
2012-05-11 11:38 . 2012-02-19 16:12 385024 ------w- d:\windows.0\system32\html.iec
2012-05-07 15:53 . 2012-05-07 15:53 102400 ----a-w- d:\windows.0\RegBootClean.exe
2012-05-05 03:14 . 2002-08-29 12:00 2194944 ------w- d:\windows.0\system32\ntoskrnl.exe
2012-05-05 03:14 . 2002-08-29 03:41 2071424 ------w- d:\windows.0\system32\ntkrnlpa.exe
2012-05-04 17:29 . 2012-06-09 18:00 143872 ----a-w- d:\windows.0\system32\javacpl.cpl
2012-05-04 17:29 . 2012-06-09 18:00 772504 ----a-w- d:\windows.0\system32\npDeployJava1.dll
2012-05-04 17:29 . 2012-06-09 18:00 687504 ----a-w- d:\windows.0\system32\deployJava1.dll
2012-05-02 13:46 . 2012-02-18 21:50 139656 ------w- d:\windows.0\system32\drivers\rdpwd.sys
2012-06-06 08:18 . 2012-04-12 08:21 97208 ----a-w- d:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot_2012-07-21_10.36.40 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-07-25 16:12 . 2012-07-25 16:12 16384 d:\windows.0\Temp\Perflib_Perfdata_ac.dat
+ 2012-07-25 08:18 . 2012-07-25 08:18 225280 d:\windows.0\ERDNT\AutoBackup\25.07.2012\Users\00000002\UsrClass.dat
+ 2012-07-25 08:18 . 2005-10-20 10:02 163328 d:\windows.0\ERDNT\AutoBackup\25.07.2012\ERDNT.EXE
+ 2012-07-24 08:58 . 2012-07-24 08:58 225280 d:\windows.0\ERDNT\AutoBackup\24.07.2012\Users\00000002\UsrClass.dat
+ 2012-07-24 08:58 . 2005-10-20 10:02 163328 d:\windows.0\ERDNT\AutoBackup\24.07.2012\ERDNT.EXE
+ 2012-07-23 07:06 . 2012-07-23 07:06 225280 d:\windows.0\ERDNT\AutoBackup\23.07.2012\Users\00000002\UsrClass.dat
+ 2012-07-23 07:06 . 2005-10-20 10:02 163328 d:\windows.0\ERDNT\AutoBackup\23.07.2012\ERDNT.EXE
+ 2012-07-22 08:48 . 2012-07-22 08:48 225280 d:\windows.0\ERDNT\AutoBackup\22.07.2012\Users\00000002\UsrClass.dat
+ 2012-07-22 08:48 . 2005-10-20 10:02 163328 d:\windows.0\ERDNT\AutoBackup\22.07.2012\ERDNT.EXE
+ 2012-07-25 08:18 . 2012-07-25 08:18 3252224 d:\windows.0\ERDNT\AutoBackup\25.07.2012\Users\00000001\NTUSER.DAT
+ 2012-07-24 08:58 . 2012-07-24 08:58 3252224 d:\windows.0\ERDNT\AutoBackup\24.07.2012\Users\00000001\NTUSER.DAT
+ 2012-07-23 07:06 . 2012-07-23 07:06 3252224 d:\windows.0\ERDNT\AutoBackup\23.07.2012\Users\00000001\NTUSER.DAT
+ 2012-07-22 08:48 . 2012-07-22 08:48 3252224 d:\windows.0\ERDNT\AutoBackup\22.07.2012\Users\00000001\NTUSER.DAT
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}"= "d:\programme\WiseConvert\prxtbWise.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}]
2011-05-09 08:49 176936 ----a-w- d:\programme\WiseConvert\prxtbWise.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}"= "d:\programme\WiseConvert\prxtbWise.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EBD898F8-FCF6-4694-BC3B-EABC7271EEB1}"= "d:\programme\WiseConvert\prxtbWise.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="d:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"Microsoft Works Update Detection"="d:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 28672]
"ArcSoft Connection Service"="d:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"SunJavaUpdateSched"="d:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Malwarebytes' Anti-Malware"="d:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"emsisoft anti-malware"="d:\programme\emsisoft anti-malware\a2guard.exe" [2012-07-22 3408288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows.0\System32\CTFMON.EXE" [2008-04-14 15360]
.
d:\dokumente und einstellungen\XXXXXXX\Startmenü\Programme\Autostart\
ERUNT AutoBackup.lnk - d:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
.
d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - d:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Printkey2000.lnk - d:\programme\PrintKey2000\Printkey2000.exe [2012-7-19 869376]
Secunia PSI Tray.lnk - d:\programme\Secunia\PSI\psi_tray.exe [2011-7-29 291896]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecureBanking]
2012-05-23 18:09 364544 ----a-w- d:\programme\Secure Banking\SecureBanking.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\WINDOWS.0\\system32\\msiexec.exe"=
"c:\\av-cls\\wget.exe"= c:\\AV-CLS\\WGET.EXE
.
R1 A2DDA;A2 Direct Disk Access Support Driver;d:\programme\Emsisoft Anti-Malware\a2ddax86.sys [22.07.2012 22:36 17904]
R1 a2injectiondriver;a2injectiondriver;d:\programme\Emsisoft Anti-Malware\a2dix86.sys [22.07.2012 22:36 37856]
R1 a2util;a-squared Malware-IDS utility driver;d:\programme\Emsisoft Anti-Malware\a2util32.sys [22.07.2012 22:36 11776]
R2 a2AntiMalware;Emsisoft Anti-Malware 6.6 - Service;d:\programme\Emsisoft Anti-Malware\a2service.exe [22.07.2012 22:36 3075920]
R2 MBAMService;MBAMService;d:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [06.07.2012 20:45 655944]
R2 Secunia PSI Agent;Secunia PSI Agent;d:\programme\Secunia\PSI\PSIA.exe --start-service --> d:\programme\Secunia\PSI\PSIA.exe --start-service [?]
R3 a2acc;a2acc;d:\programme\Emsisoft Anti-Malware\a2accx86.sys [22.07.2012 22:36 54072]
R3 MBAMProtector;MBAMProtector;d:\windows.0\system32\drivers\mbam.sys [06.07.2012 20:45 22344]
R3 PSI;PSI;d:\windows.0\system32\drivers\psi_mf.sys [01.09.2010 10:30 15544]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;d:\windows.0\system32\Macromed\Flash\FlashPlayerUpdateService.exe [03.04.2012 20:08 250056]
S3 MozillaMaintenance;Mozilla Maintenance Service;d:\programme\Mozilla Maintenance Service\maintenanceservice.exe [06.06.2012 10:19 129976]
S3 rspSanity;rspSanity;d:\windows.0\system32\drivers\rspSanity32.sys [14.05.2012 16:14 27192]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 32551285
*Deregistered* - 32551285
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-25 d:\windows.0\Tasks\Adobe Flash Player Updater.job
- d:\windows.0\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 17:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://www.google.com
IE: Web-Suche - d:\programme\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - d:\dokumente und einstellungen\XXXXXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\gck24juj.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=109958&tt=060612_6_&babsrc=KW_ss&mntrId=ec958dbf00000000000000e018d428c4&q=
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=109958&tt=060612_6_
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - ec958dbf00000000000000e018d428c4
FF - user.js: extensions.BabylonToolbar_i.hardId - ec958dbf00000000000000e018d428c4
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15507
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.170:59
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-25 18:36
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwOpenFile
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2392)
d:\programme\Emsisoft Anti-Malware\a2hooks32.dll
d:\windows.0\system32\webcheck.dll
d:\windows.0\system32\WS2_32.dll
d:\windows.0\system32\WS2HELP.dll
.
Zeit der Fertigstellung: 2012-07-25 18:39:09
ComboFix-quarantined-files.txt 2012-07-25 16:39
ComboFix2.txt 2012-07-21 10:38
ComboFix3.txt 2012-07-18 20:05
ComboFix4.txt 2012-07-17 20:19
ComboFix5.txt 2012-07-25 16:24
.
Vor Suchlauf: 15 Verzeichnis(se), 58.084.106.240 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 58.464.153.600 Bytes frei
.
- - End Of File - - 9CF4C6EFD7333C09A9E33D9ED2B74CA1


3. Einen erneuten scan agestoßen, mit der Option "direkten Festpalttenzugriff" mit Emsisoft Anti-Malware erneut eingefroren, hängen geblieb mit dem scan.

4. Dann wollte ich noch Emisoft Emergency Kit Updaten ( von einem USB Stick ) ging auch nicht richtig, der letzte stand war von 21.07.2012, zwei mal versucht im normalen Wiindows Modus, immer mitten drin abgebrochen, es gab keine Fehlermeldung,

Im abgesichereten Modu scheint es geklappt zu haben, aber das weiß ich nicht wirklich....???

Ob es dazu ein Protokoll, oder Log gibt in der version ...?

#35 markusg

markusg

    Forum Regular

  • Tester
  • PipPipPipPip
  • 187 posts

Posted 30 July 2012 - 11:10 PM

wieso wurde combofix so oft ausgeführt?
poste mal die
ComboFix-quarantined-files.txt

#36 Cat

Cat

    Member

  • Members
  • PipPip
  • 39 posts

Posted 02 August 2012 - 11:23 PM

Aus reiner dummheit, und hilflosigkeit, weil man mir auch das nur einmal auszuführen hat geraten hatte, ist nur eins übrig geblieben.

2012-07-19 13:52:12 . 2012-07-19 13:52:12 577,612 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Desktop\Setup.exe.vir
2012-07-16 22:14:56 . 2012-07-16 22:20:31 72 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\mru.xml.vir
2012-07-16 21:11:59 . 2012-07-16 21:11:59 128 ----a-w- D:\Qoobox\Quarantine\Registry_backups\HKCU-Run-NoVirusThanks Malware Remover Free Startup.reg.dat
2012-07-16 18:03:17 . 2012-07-16 18:03:17 760 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\10020.txt.vir
2012-07-16 17:29:42 . 2012-07-16 17:29:42 1,440 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\4489.txt.vir
2012-07-16 14:05:22 . 2012-07-16 14:05:22 1,415 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\2260.txt.vir
2012-07-15 19:16:10 . 2012-07-15 19:16:11 3,855 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\450.txt.vir
2012-07-15 18:46:40 . 2012-07-15 18:46:40 558 ----a-w- D:\Qoobox\Quarantine\Registry_backups\SafeBoot-05334930.sys.reg.dat
2012-07-08 08:36:22 . 2012-07-08 08:36:22 74,348 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\wlu.txt.vir
2012-07-03 18:28:22 . 2012-07-28 20:51:38 5,478 ----a-w- D:\Qoobox\Quarantine\Registry_backups cpip.reg
2012-07-03 18:22:54 . 2012-07-28 20:44:28 714 ----a-w- D:\Qoobox\Quarantine\catchme.log
2012-01-09 01:04:58 . 2012-01-09 01:04:58 3,749 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\1.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 20,362 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\a.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 22,747 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\b.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 23,856 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\c.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 14,514 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\d.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 15,076 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\e.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 11,094 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\f.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 11,657 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\g.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 10,036 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\h.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 7,695 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\i.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 4,789 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\j.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 6,050 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\k.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 12,333 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\l.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 19,801 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\m.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 6,997 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\n.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 7,715 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\o.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 18,099 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\p.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 898 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\q.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 8,049 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\r.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 34,402 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\s.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 18,804 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data .txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 3,968 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\u.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 5,756 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\v.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 7,752 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\w.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 664 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\x.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 1,912 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\y.txt.vir
2012-01-09 01:04:58 . 2012-01-09 01:04:58 1,876 ----a-w- D:\Qoobox\Quarantine\D\Dokumente und Einstellungen\Holger\Anwendungsdaten\PriceGong\Data\z.txt.vir

@ markusg


Ist das daß was du meinst ?




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users