You are not logged in.

Friday, August 22nd 2014, 5:56am

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "Dana66" started this thread

Date of registration:
Aug 27th 2009

Operating System:
Windows XP SP3

  • Send private message

1

Thursday, August 27th 2009, 12:25pm

Versteckte Objekte

Hallo,

bin heute auf Version 9 umgestiegen, und habe einen Full- und einen Rootkitscan laufen lassen.
Dabei wurde zwar kein Virus gefunden, aber versteckte Dinge.
Mache mir Sorgen und weiß nicht, was ich tun soll.
Könnt ihr mir bitte helfen?

Der Fullscan zeigt 3 Warnungen

Quoted

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Dana\Anwendungsdaten\GRETECH\GomPlayer\_grlauncher_temp_.exe
[0] Archivtyp: NSIS
--> Settings/GVC.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.


Der Rootkitscan findet 5 versteckte Objekte

Quoted

Beginn des Suchlaufs: Donnerstag, 27. August 2009 10:07

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{39ÿ75F08-BE9C-41C4-8B0D-6D88A5379467}\characteristics
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{39ÿ75F08-BE9C-41C4-8B0D-6D88A5379467}\infpath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{39ÿ75F08-BE9C-41C4-8B0D-6D88A5379467}\infsection
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{39ÿ75F08-BE9C-41C4-8B0D-6D88A5379467}\description
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{39ÿ75F08-BE9C-41C4-8B0D-6D88A5379467}\componentid
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '428967' Objekte überprüft, '5' versteckte Objekte wurden gefunden.


Ende des Suchlaufs: Donnerstag, 27. August 2009 10:10
Benötigte Zeit: 03:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
428967 Objekte wurden beim Rootkitscan durchsucht
5 Versteckte Objekte wurden gefunden

Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Version:
Avira Ultimate Protection Suite
Avira Free Unix/Linux
Avira Android Security

Operating System:
AmigaOS 3.9, Ubuntu 13.10+ & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

2

Thursday, August 27th 2009, 12:46pm

Hi,

bitte ergänze dein Profil um die vorhandene win Version (einschließlich des aktuellen Patchlevels).
Dann poste bitte ein HiJackThis-Log.


Michael
Meine PCs: Amiga 1200 und WinUAE. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only

  • "Dana66" started this thread

Date of registration:
Aug 27th 2009

Operating System:
Windows XP SP3

  • Send private message

3

Thursday, August 27th 2009, 5:48pm

Entschuldigung, ich habe beim Anmelden völlig übersehen, daß man das Betriebssystem auch angeben soll - ich habe Windows XP mit SP3.
Kann man aus dem Log etwas erkennen?

Quoted

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:25:38, on 27.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\3DataManager\WTGService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QBU\QtZwLMng.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
D:\Hijackthis\02468.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QtZwLMng] C:\Programme\QBU\QtZwLMng.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: WTGService - Unknown owner - C:\Programme\3DataManager\WTGService.exe

--
End of file - 5537 bytes

4

Thursday, August 27th 2009, 5:54pm

Bitte mal einen Scan mit GMER wie folgt:

Lade dir GMER von hier: http://www.gmer.net/#files - klicke dort auf download EXE. Die EXE hat von Haus aus einen zufällig generierten Namen - nicht wundern.

Quoted


# Trenn den Rechner (- nach Möglichkeit physisch -) vom Netzwerk bzw. Internet (- Netzwerk-/Internetkabel ziehen)!
# Schließe bzw. deaktiviere alle Fenster und Anwendungen in der Tray-Leiste (rechts unten in der Taskleiste) - auch Deinen Webbrowser und Deinen Virenschutzwächter!
# Starte nun per Doppelklick das umbenannte Tool "Gmer"!
# Setze am der rechten Rand von Gmer in allen Kästchen (- auch die Kästchen mit den Laufwerksbuchstaben), wo noch keine Häkchen sind, Häkchen!
# Starte den Scan durch Klick auf "Scan"!
# Warte bis der Scan durchgelaufen ist und mache während des Scans nichts anderes am Rechner (- Finger weg von Maus & Tastatur)! :!:
# Wenn der Scan fertig ist, öffne den "Editor" über "Start" -> "Programme" -> "Zubehör" -> "Editor"!
# Klick in Gmer auf "Copy" und klicke dann im "Editor" auf "Bearbeiten" -> "Einfügen" !
# Speichere den Inhalt des Editor-Fensters mit "Datei" -> "Speichern unter..." mit dem Namen "Gmer.txt" im gleichen Ordner, in dem sich auch Gmer befindet, ab!
# Nach dem Scan Virenwächter und andere vor dem Scan deaktivierte Schutzprogramme wieder aktivieren und Netzwerk- bzw. Internet-Verbindung wieder herstellen!
# Das abgespeicherte Logfile hier später posten!

  • "Dana66" started this thread

Date of registration:
Aug 27th 2009

Operating System:
Windows XP SP3

  • Send private message

5

Thursday, August 27th 2009, 6:57pm

Da sich einiges in der Trayleiste nicht schließen ließ, habe ich diese Prozesse mit dem Prozeß-Explorer abgeschossen. Paßt das so?

Hier das Log von Gmer

Quoted

GMER 1.0.15.15077 [t1km72gg.exe] - http://www.gmer.net
Rootkit scan 2009-08-27 18:41:12
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT F8C9E5D6 ZwCreateKey
SSDT F8C9E5CC ZwCreateThread
SSDT F8C9E5DB ZwDeleteKey
SSDT F8C9E5E5 ZwDeleteValueKey
SSDT F8C9E5EA ZwLoadKey
SSDT F8C9E5B8 ZwOpenProcess
SSDT F8C9E5BD ZwOpenThread
SSDT F8C9E5F4 ZwReplaceKey
SSDT F8C9E5EF ZwRestoreKey
SSDT F8C9E5E0 ZwSetValueKey
SSDT F8C9E5C7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 1D4 804E2830 4 Bytes JMP AAF8C9E5
? C:\WINDOWS\system32\Drivers\PROCEXP111.SYS Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\intelppm.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\CmBatt.sys[NTOSKRNL.EXE!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\parport.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\serial.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\serenum.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\kbdclass.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\mouclass.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\imapi.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\redbook.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\ks.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\drivers\portcls.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Modem.SYS[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\audstub.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndistapi.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\msgpc.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\rdpdr.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\termdd.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\swenum.sys[NTOSKRNL.EXE!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\update.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\mssmbios.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\usbhub.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Fs_Rec.SYS[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Null.SYS[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Beep.SYS[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Msfs.SYS[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\System32\Drivers\Npfs.SYS[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\rasacd.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\ipsec.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice] [F888663E] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [F8886FE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [F8886FE6] BMLoad.sys (Bytemobile Kernel Driver Loader/Bytemobile, Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tcpipBM.SYS (Bytemobile Kernel Network Provider/Bytemobile, Inc.)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{39ÿ75F08-BE9C-41C4-8B0D-6D88A5379467}@Characteristics 40
Reg HKLM\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{39ÿ75F08-BE9C-41C4-8B0D-6D88A5379467}@InfPath netwzc.inf
Reg HKLM\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{39ÿ75F08-BE9C-41C4-8B0D-6D88A5379467}@InfSection WZCSVC.ndi
Reg HKLM\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{39ÿ75F08-BE9C-41C4-8B0D-6D88A5379467}@Description Konfigurationsfreie drahtlose Verbindung
Reg HKLM\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{39ÿ75F08-BE9C-41C4-8B0D-6D88A5379467}@ComponentId ms_wzcsvc

---- EOF - GMER 1.0.15 ----

6

Thursday, August 27th 2009, 8:32pm

Deine versteckten Einträge gehören zum Konfigurationsprogramm (Wireless Zero Configuration service) des Wireless - Lan, sollten also imho nicht gefährlich sein. Allerdings stellt sich die Frage warum diese versteckt sind.

  • "Dana66" started this thread

Date of registration:
Aug 27th 2009

Operating System:
Windows XP SP3

  • Send private message

7

Thursday, August 27th 2009, 10:39pm

Was bedeutet dies für mich?

8

Thursday, August 27th 2009, 10:54pm

Eher nix . Ich würde sie als nicht bedenklich einstufen, es sei denn jemand anderes belehrt mich eines besseren. Nach Rootkit sieht es nicht aus.

AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Antivirus Suite

Operating System:
Windows 8.1 Pro 64 Bit MC & LinuxMint 17 64 Bit Cinnamon

  • Send private message

9

Thursday, August 27th 2009, 11:00pm

Die Frage bleibt (und wir hatten die Diskussion bereits lange zuvor): Warum legt ein Programm versteckte Einträge an. SecurROM etc...
Wer mein sauberes Geld haben will sollte nicht solche dreckige Veränderungen an meinem System vornehmen.

Wäre prima, wenn auch andere so denken würden, und diesen BS-Piraten den Saft abdrehen würden..
Es war schön hier mit Euch. Man sieht sich irgendwann, und irgendwo. Ich glaube nicht wirklich an ein eigenes Userforum. Der Verstand sagt, dass dies nicht gehen wird.

10

Thursday, August 27th 2009, 11:07pm

Nagut, nur das Teil gehört ja zu Microsoft, ist also ein Systeminterna - also wzc. Ist der Client für die drahtlose Netzwerverbindung.

11

Thursday, August 27th 2009, 11:11pm

Ist bei dir ein Drahtlosnetzwerk aktiv oder bist du per Lan - Kabel mit dem Router verbunden? Wird das Drahtlosnetzwerk bei dir unter Netzwerkverbindungen angezeigt?

This post has been edited 1 times, last edit by "Nighthawk" (Aug 27th 2009, 11:12pm)


AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Antivirus Suite

Operating System:
Windows 8.1 Pro 64 Bit MC & LinuxMint 17 64 Bit Cinnamon

  • Send private message

12

Thursday, August 27th 2009, 11:18pm

Nagut, nur das Teil gehört ja zu Microsoft, ist also ein Systeminterna - also wzc. Ist der Client für die drahtlose Netzwerverbindung.


Wenn es denn der Rechtsfindung, oder wozu auch immer dient: *Ich mag immer noch keine versteckten Einträge!*
Neue Startrampen, egal ob von MS oder anderen sind mir *höchst* suspekt.
Es war schön hier mit Euch. Man sieht sich irgendwann, und irgendwo. Ich glaube nicht wirklich an ein eigenes Userforum. Der Verstand sagt, dass dies nicht gehen wird.

  • "Dana66" started this thread

Date of registration:
Aug 27th 2009

Operating System:
Windows XP SP3

  • Send private message

13

Friday, August 28th 2009, 12:03am

Hallo Nighthawk,

will nur ich surfen, stecke ich das USB-Modem ( ich glaube, ihr sagt Surfstick dazu?) direkt an meinen Rechner.

Wollen aber meine bessere Hälfte und (oder) der Nachwuchs gleichzeitig online sein, kommt der Stick an den WLAN-Router.
Dann stellen wir die Verbindungen drahtlos her.

Ja, das Drahtlosnetzwerk wird bei mir unter Netzwerkverbindungen angezeigt.


Zwischendurch mal ein großes Danke für eure Hilfe!

This post has been edited 1 times, last edit by "Dana66" (Aug 28th 2009, 12:07am)


14

Friday, August 28th 2009, 1:58am

Dachte das dort eventuell ein Defekt vorliegt, welcher auch diesen versteckten Einträge hervorrufen kann.

  • "Dana66" started this thread

Date of registration:
Aug 27th 2009

Operating System:
Windows XP SP3

  • Send private message

15

Sunday, August 30th 2009, 3:39pm

Hallo Nighthawk,

bitte nicht böse sein, daß ich mich schon wieder melde.
Aber irgendwie spukt mir das mit den versteckten Einträgen noch immer im Kopf herum.
War heute bei einer ehemaligen Arbeitskollegin, die sich ebenfalls einen skartierten Rechner von unserer Firma gekauft hatte.
Da es das gleiche Modell ist wie meiner, haben wir heute alles verglichen, was wir zur drahtlosen Verbindung finden konnten.
Und es ist alles gleich, auch der Treiber.
Aber bei ihr gibt es keine versteckten Einträge, und das Gmer-Log ist auch wesentlich kürzer als meines ?(
Sie hat aber noch kein SP3 - ob es daran liegen kann?

Quoted

GMER 1.0.15.15077 [t1km72gg.exe] - http://www.gmer.net
Rootkit scan 2009-08-30 10:05:39
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT F8BAC1EC ZwCreateThread
SSDT F8BAC1D8 ZwOpenProcess
SSDT F8BAC1DD ZwOpenThread
SSDT F8BAC1E7 ZwTerminateProcess
SSDT F8BAC1E2 ZwWriteVirtualMemory

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 mouclass.sys (Mausklassentreiber/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

16

Sunday, August 30th 2009, 5:43pm

Wie gesagt sollten diese Einträge nicht vorhanden sein - wenn aber mal ein Konflikt bzw. Defekt auftritt, werden quasi diese defekten verstümmelten Einträge gerne mal als versteckt angezeigt.

Wenn du ganz sichergehne möchtest, solltest du formatieren und schaune ob nach der Neuinstallation die Einträge immer noch gefunden werden.

  • "Dana66" started this thread

Date of registration:
Aug 27th 2009

Operating System:
Windows XP SP3

  • Send private message

17

Tuesday, September 8th 2009, 8:50am

-

This post has been edited 1 times, last edit by "Dana66" (Sep 8th 2009, 8:51am)


  • "Dana66" started this thread

Date of registration:
Aug 27th 2009

Operating System:
Windows XP SP3

  • Send private message

18

Tuesday, September 8th 2009, 8:50am

Hallo Nighthawk,

Mutterns allererste Pflicht war während der vergangenen Tage, den Junior für die Nachprüfung fit zu machen.
Zumindest das ist gelungen, er kann sich die Klausel für ein späteres Jahr aufsparen :-D.

Ich bin noch nicht sicher, ob ich mir zutrauen kann und es auch wagen soll, den Rechner neu aufzusetzen.

gnagflow

Community member

Date of registration:
Mar 3rd 2006

Version:
Avira Internet Security Suite

Operating System:
WIN7 U SP1, WIN 8.1 64-bit

  • Send private message

19

Tuesday, September 8th 2009, 8:53am

Hier ein kleiner "Vorgeschmack" / Anleitungen:

Installationsanleitung XP
http://support.microsoft.com/kb/896526/DE/

Windows update
http://support.microsoft.com/gp/hublistfamily#windows

XP SP3
Download
http://www.microsoft.com/downloads/detai…08-1e1555d4f3d4

Wie installiere ich Windows neu
http://forum.avira.com/wbb/index.php?pag…&threadID=79204
In seinem Lachen liegt der Schlüssel,
mit dem wir den ganzen Menschen entschlüsseln

- Thomas Carlyle - 1795-1881 brit. Schriftsteller

  • "Dana66" started this thread

Date of registration:
Aug 27th 2009

Operating System:
Windows XP SP3

  • Send private message

20

Tuesday, September 8th 2009, 9:59am

Puuh! Ich werde mich lieber doch an die versteckten Objekte gewöhnen :-D

Vielen Dank euch allen


Dana