doc watson + explorer + langsamer rechner

#1 joah mein pc is sehr langsam geworden
der explorer + der doc stürzen ab wenn ich ne verknüpfung lösche oder die eigenschaften angucke manchmal stürzen sie aber auch so ab ohne wirklichen grund

das einzige was ich geändert hab war mein grafik treiber zu aktualieren, da ich das aber von der nvidia page gemacht glaub ich kaum das da malware dabei war.

ich hab nun antivir durchlaufen lassen, der hat zwar 2 trojaner gefunden aber das problem besteht weiterhin hier mal mein system + hijackthis log:

Win xp sp2
NVIDIA Geforce 8800 GTS
m2n32 sli deluxe
2gb ram
amd athlohn 64 x2 4200+

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 13:43:46, on 05.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Razer\Krait\razerhid.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Razer\Krait\razertra.exe
C:\Programme\Razer\Krait\razerofa.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\explorer.exe
C:\Programme\QuickTime\qttask.exe
C:\Dokumente und Einstellungen\Nightcrawler\Eigene Dateien\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Krait] C:\Programme\Razer\Krait\razerhid.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Mozilla Firefox.lnk = C:\Programme\Mozilla Firefox\firefox.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Gamez\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Gamez\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

ich könnte den doc zwar deaktivieren, allerdings würde das ja nix am eigentlichen problem lösen oder?

Vielen dank im vorraus

Mfg night

EDIT:

C:\DOKUME~1\NIGHTC~1\LOKALE~1\Temp\WER3f8d.dir00\drwtsn32.exe.mdmp
C:\DOKUME~1\NIGHTC~1\LOKALE~1\Temp\WER3f8d.dir00\appcompat.txt

das steht bei der fehler meldung drin die datei:"appcompat.txt" macht mir auch grad ärger bei dem Spiel "schlacht um mittelerde" das ich vor ein paar tagen installiert hab
das spiel geht nicht über den ladebildschirm hinaus und hängt sich auf

#2 Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen!
Starte dazu Spybot S&D,
klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Download ResetTeaTimerhttp://downloads.subratam.org/ResetTeaTimer.bat zum Desktop
Doppelklik ResetTeaTimer
Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten!
ResetTeaTimer nicht fuer Vista

und scanne mit

mache einen Scan mit Malwarebytes -
http://virus-protect.org/artikel/tools/malwarebytes.html

vergiss nicht, Mbam vor dem ersten Suchlauf zu aktualisieren und alles entfernen zu lassen, was gefunden wird

es ist hilfreich für den Mod im Sicherheitsforum, wenn dann das Reinigungslog von Malwarebytes mit in den Beitrag kopiert wird. (kann man auch als Anhang als txt-Datei machen)

Downloadlink, falls der Download von der Mbam Seite geblockt wird:
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

und

Combofix
http://www.virus-protect.org/artikel/tools/combofix.html

Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinen Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.


dann ein neues log von hj this und die logs von mbam und combofix posten

#3 vielen dank

alle 3 logs sind in der rar file

#4 kann mir jmd jetzt noch damit helfen???

#5 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Gamez\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Gamez\PartyPoker\PartyPoker\RunApp.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Update MBAM und scanne nochmal
__________
MfG Argus

#6 naja malware hat wieder nix gefunden, trozdem ist mein explorer alles andere als stabil :/

#7 also langsam isses jetzt nicht mehr, den doc hab ich auch deaktiviert aber wenn ich auf eigenschaften von ner verknüpfung geh stürzt immer der explorer ab:

C:\DOKUME~1\NIGHTC~1\LOKALE~1\Temp\7c8_appcompat.txt


AppName: explorer.exe AppVer: 6.0.2900.2180 ModName: browseui.dll
ModVer: 6.0.2900.2180 Offset: 00003dd6

das sagt der fehlerbericht...

also was tun?


EDIT: ich würd ja gern mit dem doppelposten aufhören... aber irgendwie gehts nich ohne :/

#8 >>
Wende SDFIX im abgesicherten Modus an und poste das Log:
http://virus-protect.org/artikel/tools/sdfix.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei monate:
http://www.virus-protect.org/datfindbat.html

#9 hier mal das 1. log:


SDFix: Version 1.234
Run by Nightcrawler on 12.10.2008 at 14:15

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 14:21:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d052731]
"00039d30c65a"=hex:6b,e6,dc,db,fe,30,5c,1c,44,de,8c,2c,9c,e1,4f,65
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:661f6d59
"s2"=dword:d26946b6
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:c0,ba,b0,d6,37,d2,c7,dc,d9,f4,06,9c,9f,c1,85,9e,f9,ce,00,bf,15,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:c4,0b,ae,15,fd,4d,92,48,d6,1b,ea,8f,fc,dc,f2,28,6e,e5,56,14,78,..
"p0"="C:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d2,52,ab,4f,2a,33,c5,01,2e,bf,28,a9,12,8e,26,3b,64,..
"khjeh"=hex:85,0c,30,db,5a,39,c1,84,9c,60,a4,b7,07,44,3f,30,e4,1e,28,f7,13,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:41,52,c3,af,4d,fb,f2,b2,e7,7b,70,8a,19,50,ad,0f,7c,b1,d4,04,47,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000b0d052731]
"00039d30c65a"=hex:6b,e6,dc,db,fe,30,5c,1c,44,de,8c,2c,9c,e1,4f,65
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:c0,ba,b0,d6,37,d2,c7,dc,d9,f4,06,9c,9f,c1,85,9e,f9,ce,00,bf,15,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:c4,0b,ae,15,fd,4d,92,48,d6,1b,ea,8f,fc,dc,f2,28,6e,e5,56,14,78,..
"p0"="C:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d2,52,ab,4f,2a,33,c5,01,2e,bf,28,a9,12,8e,26,3b,64,..
"khjeh"=hex:85,0c,30,db,5a,39,c1,84,9c,60,a4,b7,07,44,3f,30,e4,1e,28,f7,13,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:41,52,c3,af,4d,fb,f2,b2,e7,7b,70,8a,19,50,ad,0f,7c,b1,d4,04,47,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe:*isabled:backWeb-8876480"
"C:\\Gamez\\Neverwinter Nights 2\\nwn2main.exe"="C:\\Gamez\\Neverwinter Nights 2\\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main"
"C:\\Gamez\\Neverwinter Nights 2\\nwn2main_amdxp.exe"="C:\\Gamez\\Neverwinter Nights 2\\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD"
"C:\\Gamez\\Neverwinter Nights 2\\nwupdate.exe"="C:\\Gamez\\Neverwinter Nights 2\\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater"
"C:\\Gamez\\Neverwinter Nights 2\\nwn2server.exe"="C:\\Gamez\\Neverwinter Nights 2\\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server"
"C:\\Gamez\\Die Schlacht um Mittelerde(tm)\\game.dat"="C:\\Gamez\\Die Schlacht um Mittelerde(tm)\\game.dat:*:Enabledie Schlacht um Mittelerde"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :



Files with Hidden Attributes :

Sun 5 Oct 2008 1,572,864 A..H. --- "C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.bak_jv16pt"
Sun 5 Oct 2008 1,572,864 A..H. --- "C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.bak_jv16pt"
Sun 5 Oct 2008 7,602,176 A..H. --- "C:\Dokumente und Einstellungen\Nightcrawler\NTUSER.DAT.bak_jv16pt"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sun 5 Oct 2008 23 A.SH. --- "C:\WINDOWS\system32\faeafdfdcc_g.dll"
Sun 29 Apr 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 18 Sep 2008 4,934 ...HR --- "C:\Dokumente und Einstellungen\Nightcrawler\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Fri 29 Dec 2006 262,144 A..H. --- "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt"
Fri 29 Dec 2006 262,144 A..H. --- "C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt"
Sun 5 Oct 2008 262,144 A..H. --- "C:\Dokumente und Einstellungen\Nightcrawler\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt"

Finished!


so und hier nr 2:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A412-072C

Verzeichnis von c:\

12.10.2008 14:34 0 dirdat.txt
12.10.2008 14:19 2.145.386.496 pagefile.sys
05.10.2008 16:51 14.714 ComboFix.txt
05.10.2008 13:48 256 boot.ini
02.10.2008 21:14 12.608 graph.log
01.09.2008 11:54 45 TEST.XML
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A412-072C

Verzeichnis von C:\WINDOWS\system32

05.10.2008 20:07 23 faeafdfdcc_g.dll
05.10.2008 20:07 23 dbafbbed_g.ocx
05.10.2008 20:03 401.408 CF3629.exe
05.10.2008 13:52 110.834 nvapps.xml
05.10.2008 00:06 0 nmp.log
03.10.2008 21:12 6.944 jupdate-1.6.0_07-b06.log
27.09.2008 11:01 2.262 wpa.dbl
10.09.2008 14:19 107.888 CmdLineExt.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A412-072C

Verzeichnis von C:\WINDOWS

12.10.2008 14:25 414.755 WindowsUpdate.log
12.10.2008 14:19 159 wiadebug.log
12.10.2008 14:19 50 wiaservc.log
12.10.2008 14:19 2.048 bootstat.dat
12.10.2008 14:10 32.622 SchedLgU.Txt
05.10.2008 16:47 227 system.ini
05.10.2008 13:48 615 win.ini
26.09.2008 21:19 54.156 QTFont.qfn
07.09.2008 14:47 84.992 AKDeInstall.exe
05.09.2008 14:49 1.409 QTFont.for
01.09.2008 15:32 0 PowerReg.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A412-072C

Verzeichnis von C:\DOKUME~1\NIGHTC~1\LOKALE~1\Temp

12.10.2008 14:31 0 etilqs_fk1inhvuVkSq21xih92C
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 11.605.819.392 Bytes frei

#10 Las folgende Dateien bei www.virustotal.com/de prüfen und poste das Ergebnis:
C:\WINDOWS\system32\faeafdfdcc_g.dll
C:\WINDOWS\system32\CF3629.exe

Meinst du den IE der langsam ist? Dann mach noch folgendes:
>>
Download und auf dem Desktop entzippen:
http://virus-protect.org/zip/IEreg.zip

IERegFix.bat

entzippen
Klicke: iereg.bat
PC neustarten und prüfen, ob der IE korrekt funktioniert

>>
Scanne mit Bitdefender und berichte:
http://virus-protect.org/artikel/tools/bitdefender.html

Gruss Swiss

#11 nein nicht der IE ich surfe mit firefox, der pc is auch wieder schnell, aber der windows explorer stürzt ab wenn ich mir die eigenschaften einer verknüpfung angucke


Datei faeafdfdcc_g.dll empfangen 2008.10.12 15:23:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/34 (0%)

weitere Informationen
File size: 23 bytes
MD5...: 660296e97e18a9857be5b592efe939a7
SHA1..: cbf4eefbcb4d06c949955383c09a9066c84511b2
SHA256: 3f44b85a551d8830d2f25661c87368721e98c1192d7da4e60d4083173fb5c607
SHA512: 984bd11577aa30052297d6ce243c81f8bd4ae15a7dd796c8db43b337f2af1ef6
a5f960aca07637b87450d376ac81c8ee68717ed9e77d55a3874166c8b2aaa718
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -


Datei CF3629.exe empfangen 2008.10.12 15:25:51 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
weitere Informationen
File size: 401408 bytes
MD5...: ed0f57b5b44c2a5e7a756dc611033a77
SHA1..: d1a93a44975f785265387a9a4b34b285931b1441
SHA256: 0b92c5335b76bf2fcb250c09c648ca91890cfa9081a7a6d9a8461e4acee04e46
SHA512: f888edd244276ff01ec165f0d1fc6a66dc81a1ed57eddbbaaca803a37bf15347
b0200859cafbdc869ff194ab38fa81625a7333a0411dd37f1686401a86736dbc
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4ad05056
timedatestamp.....: 0x41107ebe (Wed Aug 04 06:14:22 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f5e0 0x1f600 6.59 34e85df368a84fb6c06bed4d147b099a
.data 0x21000 0x1ca24 0x1ca00 0.17 f475a5d8db410678faa8b459e2a5fdb4
.rsrc 0x3e000 0x25ab0 0x25c00 3.87 c4100b0355fe0bc1b5dffc7e7b9c70fb

( 3 imports )
> msvcrt.dll: __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __initenv, _cexit, _XcptFilter, _exit, _c_exit, calloc, _wcslwr, qsort, _vsnwprintf, wcsstr, _dup2, _dup, _open_osfhandle, _close, swscanf, _ultoa, _pipe, _seh_longjmp_unwind, _setmode, wcsncmp, iswxdigit, fflush, exit, _wtol, time, srand, __set_app_type, wcsrchr, malloc, free, wcstoul, _errno, iswalpha, printf, rand, swprintf, _iob, fprintf, towlower, realloc, setlocale, _snwprintf, wcscat, _wcsupr, wcsncpy, _wpopen, fgets, _pclose, memmove, wcschr, iswspace, _tell, longjmp, wcscmp, _wcsnicmp, _wcsicmp, wcstol, iswdigit, _getch, _get_osfhandle, _controlfp, _setjmp3, _except_handler3, wcscpy, wcslen, wcsspn, towupper
> KERNEL32.dll: FlushConsoleInputBuffer, LoadLibraryA, InterlockedExchange, FreeLibrary, LocalAlloc, GetVDMCurrentDirectories, CmdBatNotification, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetThreadLocale, GetDiskFreeSpaceExW, CompareFileTime, RemoveDirectoryW, GetCurrentDirectoryW, SetCurrentDirectoryW, TerminateProcess, WaitForSingleObject, GetExitCodeProcess, CopyFileW, SetFileAttributesW, DeleteFileW, SetFileTime, CreateDirectoryW, FillConsoleOutputAttribute, SetConsoleTextAttribute, ScrollConsoleScreenBufferW, FormatMessageW, DuplicateHandle, FlushFileBuffers, HeapReAlloc, HeapSize, GetFileAttributesExW, LocalFree, GetDriveTypeW, InitializeCriticalSection, SetConsoleCtrlHandler, GetWindowsDirectoryW, GetConsoleTitleW, GetModuleFileNameW, GetVersion, EnterCriticalSection, LeaveCriticalSection, ExpandEnvironmentStringsW, SearchPathW, WriteFile, GetVolumeInformationW, SetLastError, MoveFileW, SetConsoleTitleW, MoveFileExW, GetBinaryTypeW, GetFileAttributesW, GetCurrentThreadId, CreateProcessW, LoadLibraryW, ReadProcessMemory, SetErrorMode, GetConsoleMode, SetConsoleMode, VirtualAlloc, VirtualFree, SetEnvironmentVariableW, GetEnvironmentVariableW, GetCommandLineW, GetEnvironmentStringsW, GetLocalTime, GetTimeFormatW, FileTimeToLocalFileTime, GetDateFormatW, GetLastError, CloseHandle, SetThreadLocale, GetProcAddress, GetModuleHandleW, SetFilePointer, lstrcmpW, lstrcmpiW, HeapAlloc, GetProcessHeap, HeapFree, MultiByteToWideChar, ReadFile, WriteConsoleW, FillConsoleOutputCharacterW, SetConsoleCursorPosition, ReadConsoleW, GetConsoleScreenBufferInfo, GetStdHandle, GetFileType, VirtualQuery, RaiseException, GetCPInfo, GetConsoleOutputCP, WideCharToMultiByte, GetFileSize, CreateFileW, FindClose, FindNextFileW, FindFirstFileW, GetFullPathNameW, GetUserDefaultLCID, GetLocaleInfoW, SetLocalTime, SystemTimeToFileTime, GetSystemTime, FileTimeToSystemTime
> USER32.dll: GetUserObjectInformationW, GetThreadDesktop, MessageBeep, GetProcessWindowStation

#12 diese zwei Dateien erscheinen nicht im Log von Combofix (jedoch in Datfind)
kannst du dich erinnern, was du geladen hast zu diesem Zeitpunkt ???
05.10.2008 20:07

C:\WINDOWS\system32\faeafdfdcc_g.dll
C:\WINDOWS\system32\CF3629.exe

lade sie bitte bei Norman hoch - warte, bis die Auswertung per email kommt + hier posten
http://www.norman.com/microsites/nsic/Submit/de
__________
MfG Sabina

rund um die PC-Sicherheit

#13 also eigentlich hab ich während den ganzen scans nix geladen, ich hab miranda und firefox immer am laufen das is aber alles hier die mails: (bitdefender läuft noch)


faeafdfdcc_g.dll : Not detected by Sandbox (Signature: NO_VIRUS)


[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: N/A
* Executable file structure: OK
* Filetype: Unknown

[ General information ]
* File length: 23 bytes.
* MD5 hash: 660296e97e18a9857be5b592efe939a7.

CF3629.exe : Not detected by Sandbox (Signature: NO_VIRUS)


[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Application
* Executable file structure: OK
* Filetype: PE_I386

[ General information ]
* File length: 401408 bytes.
* MD5 hash: ed0f57b5b44c2a5e7a756dc611033a77.


EDIT: im anhang der bitdefender bericht

#14 C:\WINDOWS\system32\faeafdfdcc_g.dll
C:\WINDOWS\system32\CF3629.exe
sind jedenfalls bei der Google-Suche nicht bekannt.
Zur Zeit werden sie nicht als Malware eingeschätzt, also kannst du sie drauflassen oder auch löschen.

lade avz (russische Seite) - scanne + poste den Report
http://virus-protect.org/artikel/tools/avz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Attention !!! Database was last updated 06.04.2008 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 12.10.2008 20:11:05
Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70476
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=08C500)
Kernel KERNEL1.EXE found in memory at address 804D7000
SDT = 80563500
KiST = 804E4F40 (284)
Function NtCreateKey (29) intercepted (80579528->F74D70E0), hook spqs.sys
Function NtCreateThread (35) intercepted (80586CE6->B59CA65C), hook not defined
Function NtEnumerateKey (47) intercepted (8057A69E->F74F5CA2), hook spqs.sys
Function NtEnumerateValueKey (49) intercepted (80590C93->F74F6030), hook spqs.sys
Function NtOpenKey (77) intercepted (80573F1D->F74D70C0), hook spqs.sys
Function NtOpenProcess (7A) intercepted (80581C68->B59CA648), hook not defined
Function NtOpenThread (80) intercepted (80598726->B59CA64D), hook not defined
Function NtQueryKey (A0) intercepted (8057A29E->F74F6108), hook spqs.sys
Function NtQueryValueKey (B1) intercepted (80574361->F74F5F88), hook spqs.sys
Function NtSetValueKey (F7) intercepted (80584921->F74F619A), hook spqs.sys
Function NtTerminateProcess (101) intercepted (8058CE75->B59CA657), hook not defined
Function NtWriteVirtualMemory (115) intercepted (805880B7->B59CA652), hook not defined
Functions checked: 284, intercepted: 12, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Analysis for CPU 2
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89B5A1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 89B5A1F8 -> hook not defined
Checking - complete
2. Scanning memory
Number of processes found: 35
Number of modules loaded: 372
Scanning memory - complete
3. Scanning disks
C:\Programme\DivX\DivX Converter\dpil100.dll >>> suspicion for AdvWare.Win32.NewWeb.i ( 00707F72 00000000 001AEEF2 001AFFE8 61440)
Direct reading C:\WINDOWS\system32\drivers\sptd.sys
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: TlntSvr (Telnet)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun are allowed
>> Autorun from network drives are allowed
>> Removable media autorun are allowed
Checking - complete
Files scanned: 143587, extracted from archives: 121038, malicious software found 0, suspicions - 1
Scanning finished at 12.10.2008 20:38:30
Time of scanning: 00:27:26
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference


auch nix...


EDIT: hab beide dateien mal gelöscht, bringt auch nix