CPU springt unerwartet auf 100%

#1 Hallo liebes Protecus-Forum!

Ich habe eine lange Odyssee hinter mir und bin mit meinem Ideen am Ende, daher hoffe ich dass ihr mir weiterhelfen könnt.
Musste beim Online-Spielen (GTA IV) feststellen dass meine CPU aus unbekannten Gründen von einem Moment auf den anderen zu 100% ausgelastet wird. Bei einem anderen Spiel das Online-Verbindung sucht (dass ich in Fenstermodus laufen lief), schleicht sich der selbe Fehler ein. Manchmal nach Minuten, manchmal nach Sekunden. Im Taskmanager konnte ich dann beobachten dass lsass.exe ca. 22% meiner CPU beansprucht (3,3 GHZ DUO), svchost.exe SYSTEM ca. 15 %, svchost.exe NETWORK SERVICES auch ca. 15%. Der Rest entfiel auf das Spiel.
Ich ging also von einem Wurm aus, und fand dann mit GMER ein Rootkit in meinen Eingeweiden (und Magenschmerzen bekomm ich auch bald).
Nach dem sich das Rootkit in äußerst heikle Services eingenistet hatte, habe ich kurzerhand die Festplatte mit GParted Live (booted to ram) 2x zwischen ntfs und ext2 hin und her formatiert, und dann wieder auf ntfs und Windows XP 64 neu installiert.
Gleich nach der Installation von Windows habe ich nochmal GMER ausgeführt und das Rootkit hat sich wieder eingenistet.
Da ich XP 64 habe sind einige der gängigen Programme zum entfernen von Rootkits nicht mit meinem Betriebssystem kompatibel. Combofix z.B.

Bin auf euer Forum gestoßen und habe mal nach bestem Wissen und Gewissen ein paar Tipps hier angewandt.
Als letzten Ausweg der Selbsthilfe werde ich jetzt die Festplatte nochmal formatieren, und anschließend noch per Windows CD den Bootsektor per Fixmbr neu erstellen, bevor ich windows erneut installiere (da ich denke dass sich das Biest nur im Bootsektor verstecken kann, wenn es die Formatierung überlebt). Während ich also fröhliches Neu-Aufsetzen betreibe, poste ich hier mal meine logfiles, in der Hoffnung dass jemand von euch einen Rat weiß.

update: fixmbr, und dann windows aufsetzen hat nichts gebracht... rootkit wird immer noch von GMER gefunden. Habe schon langsam das gefühl dass mir GMER selber einen Streich spielt. Logfile kann ich posten, wenn nötig.

Habe CCleaner und CleanUp mit den empfohlenen Einstellungen angewendet. Bisher wird nur ein Teil der Festplatte benutzt (C), der Rest ist unallocated space. Ich hoffe ich habe beim kopieren der Logfiles alles richtig gemacht....

In dieser Reihenfolge:
1. Hijack This
2. Comboscan
3. datfind

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:48:56, on 20.12.2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)
Boot mode: Normal

Running processes:
C:\WINDOWS\SysWOW64\ctfmon.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)
O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)

--
End of file - 3187 bytes


ComboScan v20070226.18 run by Administrator on 2008-12-20 at 01:50:18
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis Clone -------------------------------------------------------------

Emulating logfile of HijackThis v1.99.1
Scan saved at 2008-12-20 01:51:38
Platform: Windows 2003 Service Pack 2 (5.02.3790)
MSIE: Internet Explorer (6.0.3790.1830)

Running processes:
C:\WINDOWS\SysWOW64\ctfmon.exe
C:\Documents and Settings\Administrator\Desktop\comboscan\comboscan.exe

F2 - REG:system.ini: UserInit=userinit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: EFS - C:\WINDOWS\system32\sclgntfy.dll
O23 - Service: IAS Jet Database Access (IASJet) - C:\WINDOWS\SysWOW64\svchost.exe -k iasjet
O23 - Service: System Restore Service (srservice) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: SSDP Discovery Service (SSDPSRV) - C:\WINDOWS\system32\svchost.exe -k LocalService
O23 - Service: Universal Plug and Play Device Host (upnphost) - C:\WINDOWS\system32\svchost.exe -k LocalService
O23 - Service: Security Center (wscsvc) - C:\WINDOWS\System32\svchost.exe -k netsvcs


-- Files created between 2008-11-20 and 2008-12-20 ------------------------------



-- Find3M Report ----------------------------------------------------------------

2008-12-20 01:48:48 0 d-------- C:\Program Files (x86)\Trend Micro<TRENDM~1>
2008-12-20 01:28:01 0 d---s---- C:\Documents and Settings\Administrator\Application Data\Microsoft<MICROS~1>
2008-12-19 19:22:48 80 --a------ C:\WINDOWS\gmer_uninstall.cmd<GMER_U~1.CMD>
2008-12-19 19:07:38 0 d-------- C:\Program Files (x86)\Common Files\ODBC
2008-12-19 19:07:33 0 d-------- C:\Program Files (x86)\Common Files\SpeechEngines<SPEECH~1>
2008-12-19 19:07:07 62 --ahs---- C:\Documents and Settings\Administrator\Application Data\desktop.ini
2008-12-19 18:23:12 0 d-------- C:\Documents and Settings\Administrator\Application Data\Identities<IDENTI~1>
2008-12-19 18:18:31 0 d-------- C:\Program Files (x86)\system
2008-12-19 18:18:31 0 d-------- C:\Program Files (x86)\speechengines<SPEECH~1>
2008-12-19 18:18:31 0 d-------- C:\Program Files (x86)\microsoft shared<MICROS~1>
2008-12-19 18:18:09 0 -rahs---- C:\MSDOS.SYS
2008-12-19 18:18:09 0 -rahs---- C:\IO.SYS
2008-12-19 18:18:09 0 --a------ C:\CONFIG.SYS
2008-12-19 18:18:09 0 --a------ C:\AUTOEXEC.BAT
2008-12-19 18:16:17 0 d-------- C:\Program Files (x86)\Movie Maker<MOVIEM~1>
2008-12-19 18:16:04 0 d-------- C:\Program Files (x86)\Windows Media Player[Strings]<WINDOW~3>
2008-12-19 18:14:49 0 d-------- C:\Program Files (x86)\MSN Gaming Zone<MSNGAM~1>
2008-12-19 18:14:08 0 d-------- C:\Program Files (x86)\Windows NT<WINDOW~1>


-- Registry Dump ----------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"tscuninstall"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,74,73,63,75,70,67,72,64,2e,65,78,65,00

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runonce]
"tscuninstall"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,74,73,63,75,70,67,72,64,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"="lsass.exe"


[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"scforceoption"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktop"=dword:00000001
"NoActiveDesktopChanges"=dword:00000001
"ForceActiveDesktopOn"=dword:00000000

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\EFS

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\wd.sys

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
iasjet REG_MULTI_SZ IASJet\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0W32Time\0RemoteRegistry\0upnphost\0SSDPSRV\0WinHttpAutoProxySvc\0\0
NetworkService REG_MULTI_SZ 6to4\0DHCP\0DnsCache\0\0
WinErr REG_MULTI_SZ ERsvc\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0

HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
AeLookupSvc



-- End of ComboScan: finished at 2008-12-20 at 01:51:43 -------------------------



Volume in drive C has no label.
Volume Serial Number is 68BE-3732

Directory of c:\

20.12.2008 01:59 0 dirdat.txt
20.12.2008 01:41 1.081 Bug.txt
20.12.2008 01:10 2.145.386.496 pagefile.sys
19.12.2008 18:18 0 CONFIG.SYS
19.12.2008 18:18 0 MSDOS.SYS
19.12.2008 18:18 0 IO.SYS
19.12.2008 18:18 0 AUTOEXEC.BAT
19.12.2008 18:12 213 boot.ini
18.02.2007 13:00 297.072 ntldr
18.02.2007 13:00 47.772 NTDETECT.COM
10 File(s) 2.145.732.634 bytes
0 Dir(s) 32.698.978.304 bytes free
Volume in drive C has no label.
Volume Serial Number is 68BE-3732

Directory of C:\WINDOWS\system32

20.12.2008 01:14 320.428 perfh009.dat
20.12.2008 01:14 41.320 perfc009.dat
20.12.2008 01:14 366.358 PerfStringBackup.INI
19.12.2008 19:12 0 h323log.txt
19.12.2008 19:11 2.492 pid.PNF
19.12.2008 18:23 2.278 wpa.dbl
19.12.2008 18:22 84.720 FNTCACHE.DAT
19.12.2008 18:22 286 $winnt$.inf
19.12.2008 18:16 749 wuaucpl.cpl.manifest
19.12.2008 18:16 749 sapi.cpl.manifest
19.12.2008 18:16 749 ncpa.cpl.manifest
19.12.2008 18:16 749 nwc.cpl.manifest
19.12.2008 18:16 749 cdplayer.exe.manifest
19.12.2008 18:15 22.588 emptyregdb.dat
18.02.2007 13:00 342.016 adsldp.dll

1462 File(s) 346.400.238 bytes
0 Dir(s) 32.698.847.232 bytes free
Volume in drive C has no label.
Volume Serial Number is 68BE-3732

Directory of C:\WINDOWS

20.12.2008 01:33 2.996 WindowsUpdate.log
20.12.2008 01:10 2.048 bootstat.dat
19.12.2008 19:28 250 gmer.ini
19.12.2008 19:22 80 gmer_uninstall.cmd
19.12.2008 19:22 819.200 gmer.dll
19.12.2008 19:11 150 system.ini
19.12.2008 18:18 0 control.ini
19.12.2008 18:18 401 win.ini
19.12.2008 18:18 316.640 WMSysPr9.prx
19.12.2008 18:17 4.161 ODBCINST.INI
19.12.2008 18:17 749 WindowsShell.Manifest
19.12.2008 18:15 37 vbaddin.ini
19.12.2008 18:15 36 vb.ini
18.01.2008 20:31 757.760 gmer.exe

43 File(s) 5.979.932 bytes
0 Dir(s) 32.698.900.480 bytes free
Volume in drive C has no label.
Volume Serial Number is 68BE-3732

Directory of C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

20.12.2008 01:51 4.852 ~bkaflfa.tmp
20.12.2008 01:43 4.852 ~rmgzfsx.tmp
2 File(s) 9.704 bytes
0 Dir(s) 32.698.900.480 bytes free

#2 abarbeiten:
http://board.protecus.de/t23188.htm
bitte gmer-log zeigen

#3 So, hier die neuen logfiles und neue Problembeschreibung

Problem:
- Bei 2 verschiedenen Spielen im Online-Modus steigt meine CPU unerwartet und ohne ersichtlichen Grund auf 100%, ganzer PC blockiert.
- Beim Ausführen in Fenstermodus stellte ich per Taskmanager fest dass lsass.exe und svchost.exe ca. 50% der CPU beanspruchen.
- GMER zeigt Rootkit (obwohl GMER offensichtlich auf meinem OS nicht 100% funktioniert)
- Nach Formatierung und blanker Neuinstallatin von Windows zeigt GMER immer noch infizierte Datein an.
- Andere Scanner sprechen nicht an.
- Da ich bei den Online-Spielen Probleme habe, und lsass.exe bekannt für Infizierungen ist, nehme ich an das GMER schon recht hat mit dem Rootkit.

Zu den Logfiles:
- combofix schreibt mir: imcompatible OS (ich verwende XP 64 mit SP2, original, frisch aufgesetzt, nichts installiert außer Motherboard-Treiber von CD, und WLAN-Treiber von CD, Opera und den hier verwendeten Programmen)
- GMER bringt mir zu Beginn beim Ausführen den Datei diese Fehlermeldung: System\CurrentControlSet\Services\gmer: The handel is invalid
- GMER SCAN kann dann trotzdem beschränkt durchgeführt werden.... hier die Einträge die mit Rootkit!!! und rot markiert wurden

File C:\WINDOWS\system32\services.exe 224256 bytes <-- ROOTKIT !!!
File C:\WINDOWS\system32\sessmgr.exe 212480 bytes <-- ROOTKIT !!!
File C:\WINDOWS\system32\dmadmin.exe 399872 bytes <-- ROOTKIT !!!
File C:\WINDOWS\system32\drivers\scsiport.sys 171008 bytes <-- ROOTKIT !!!
File C:\WINDOWS\system32\imapi.exe 265728 bytes <-- ROOTKIT !!!
File C:\WINDOWS\system32\lsass.exe 14336 bytes <-- ROOTKIT !!!
File C:\WINDOWS\system32\msdtc.exe 6656 bytes <-- ROOTKIT !!!
File C:\WINDOWS\system32\spoolsv.exe 110080 bytes <-- ROOTKIT !!!
File C:\WINDOWS\system32\vds.exe 613376 bytes <-- ROOTKIT !!!
File C:\WINDOWS\system32\tlntsvr.exe 113152 bytes <-- ROOTKIT !!!
File C:\WINDOWS\system32\vssvc.exe 2062336 bytes <-- ROOTKIT !!!
File C:\WINDOWS\system32\wbem\wmiapsrv.exe 223232 bytes <-- ROOTKIT !!!

Service C:\WINDOWS\system32\services.exe [AUTO] Eventlog <-- ROOTKIT !!!
Service C:\WINDOWS\system32\sessmgr.exe [MANUAL] RDSessMgr <-- ROOTKIT !!!
Service C:\WINDOWS\System32\dmadmin.exe [MANUAL] dmadmin <-- ROOTKIT !!!
Service C:\WINDOWS\system32\drivers\scsiport.sys ScsiPort <-- ROOTKIT !!!
Service C:\WINDOWS\system32\imapi.exe [MANUAL] ImapiService <-- ROOTKIT !!!
Service C:\WINDOWS\System32\lsass.exe [MANUAL] HTTPFilter <-- ROOTKIT !!!
Service C:\WINDOWS\system32\msdtc.exe [MANUAL] MSDTC <-- ROOTKIT !!!
Service C:\WINDOWS\system32\spoolsv.exe [AUTO] Spooler <-- ROOTKIT !!!
Service C:\WINDOWS\System32\vds.exe [MANUAL] vds <-- ROOTKIT !!!
Service C:\WINDOWS\system32\tlntsvr.exe [DISABLED] TlntSvr <-- ROOTKIT !!!
Service C:\WINDOWS\System32\vssvc.exe [MANUAL] VSS <-- ROOTKIT !!!
Service C:\WINDOWS\system32\wbem\wmiapsrv.exe [MANUAL] WmiApSrv <-- ROOTKIT !!!

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
- hier die logfile von mbam
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1526
Windows 5.2.3790 Service Pack 2

20.12.2008 20:23:44
mbam-log-2008-12-20 (20-23-37).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 28635
Laufzeit: 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

---------------------------------------------------------------------------------------------------------------------------------------------------------------------
- hier die logfile von Hijack This
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:27:08, on 20.12.2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)
Boot mode: Normal

Running processes:
C:\WINDOWS\syswow64\RunDll32.exe
C:\WINDOWS\SysWOW64\ctfmon.exe
C:\Program Files (x86)\NETGEAR\WG111v3\WG111v3.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)
O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)

--
End of file - 3334 bytes

#4 versuchen wir mal avira rescue cd:
www.avira.com/de/support/support_downloads.html - 34k -
am besten von einem sauberen rechner (falls forhanden) brennen.
funde renamen und hier posten!

#5 Gmer ist absolut nicht kompatible mit 64 Bit Systemen von Windows und man kann deshalb auch den Ergebnissen von Gmer nicht vertrauen!
__________
MfG Ralf
SEO-Spam Hunter

#6

Zitat

Gmer ist absolut nicht kompatible mit 64 Bit Systemen von Windows und man kann deshalb auch den Ergebnissen von Gmer nicht vertrauen!

ja, ich befürchte immer mehr dass ich einem Gespenst hinterherjage. Danke für die Info.

Zitat

versuchen wir mal avira rescue cd:
www.avira.com/de/support/support_downloads.html - 34k -
am besten von einem sauberen rechner (falls forhanden) brennen.
funde renamen und hier posten!

Avira rescue CD hat leider nicht funktioniert. CD hat gebootet, hing dann aber bei 98% Hardwaresuche 20 min fest, und anschließend war 30 min Stillstand. Danach habe ich neu gestartet. Schade.
Wenn du doch Avira AntiVir Removal Tool gemeint hast, das hat keine infizierte Datei gefunden.
Wie schon vorher gesagt, befürchte ich dass ich mir vielleicht umsonst Sorgen mache.

daher die Frage
- Kann ein rootkit eine Festplattenformatierung und anschließenden Bootsektorflash überhaupt überleben?

Ich werde mal verschiedene Spiele online probieren und beobachten ob das Problem überall auftritt (GTA IV und TRIALS 2 waren die Auslöser für die Hexenjagd). Da der PC nur als Spieleplattform dient und der Laptop alles andere übernimmt, sind auch keine heiklen Daten gefährdet.
Ich sag mal danke für die Hilfe, und bin natürlich für neue Vorschläge offen

#7 Hoert sich etwas "bloed" an, aber nimm ein 32 Bit System. Das ist "angenehmer", was Spiele angeht und sollte auch, in dieser Beziehung, von der Geschwindigkeit etwas schneller sein
__________
MfG Ralf
SEO-Spam Hunter

#8 Momentan wärs ja noch ok, aber um die 64bit-Systeme werden wir nicht mehr herum kommen wenn wir mal wirklich die 4 GB Ram zum spielen brauchen.
Außer Windows 7 überrascht uns 8)... aber das lass ich mal so in den Raum gestellt.
Bin ja bisher mit XP 64 sehr zufrieden... leider funktionieren viele Malware-Remover nicht, sonst kann ich aber den Mythos, dass auf 64bit nichts kompatibel ist, nicht unterstützen....

Wie gesagt, ich werde das Problem mal beobachten. GTA IV ist ja ein Kapitel für sich. Offline hab ich keine Probleme, trotz ATI.
Vor ca. 1 Jahr habe ich noch Company of Heroes und Pirates of the Burning Sea auf dem PC online gezockt... da war noch kein Problem. Vielleicht hab ich mich wirklich von GMER in die Irre leiten lassen.
Als Alternative habe ich noch eine 2. Festplatte herumliegen die ok sein dürfte... (ohne Rootkit). werd die mal mit XP 32bit bespielen, durchchecken und dann neu mit xp 64bit aufsetzen. Werd den Ausgang des Experiments posten. (kann sich nur um Tage handeln )

Falls ich vor den Feiertagen keine großartigen Neuigkeiten habe, wünsche ich allen mal ein FROHES FEST.

#9 vista beherst 4 gb ram

#10 aber nur die 64bit version, soweit ich weiß... oder? dann noch die ram von der Grafikkarte dazu, und ich steh bei 4,5

#11 die 32 auch und ob die von der ram dazuzählt weiß ich net... glaub ich aber auch net...

#12 hmmm....

hab das von der microsoftseite

"We have been working on this transition for years. So why the sudden uptick? With recent drops in memory prices, PC manufacturers can produce a 64-bit PC that's priced competitively against a 32-bit PC. The choice of operating system isn't a cost factor—64-bit editions of Windows Vista are the same price as 32-bit versions. And you need to have a 64-bit edition to take advantage of more than 3GB of memory. We've seen the adoption rate of 64-bit editions of Windows Vista triple in the U.S. over the last three months and more than double worldwide during the same period. All indications show that the rate of adoption will continue to accelerate."

http://www.microsoft.com/windows/windows-vista/compare-editions/64-bit-ready.aspx

#13 32 bit kann nur 4 GB adressieren, bei Windows ist das effektiv um die 3,5 GB und das wird reichen fuer die naechsten Jahre. Spiele werden fuer den Massenmarkt entwickelt und 64 Bit Systeme sind nun wirklich nicht verbreitet.
__________
MfG Ralf
SEO-Spam Hunter

#14 ja stimmt 3,5 gb waren es... und ich kenne kein spiel mit 4 gb

#15 hab grad die rückseiten meiner Spiele betrachtet, und bei den aktuellen Mindestanforderungen hast du recht.

Ich weiß nicht ob das in dem Forum geduldet ist, dass wir vom Thema abweichen... aber ok...

Bei GTA z.b (is vielleicht ein blödes Beispiel, aber ok) habe ich bei mehr oder weniger mittleren Einstellungen eine Ram-Auslastung von 48% (also 2 GB)... hätte ich jetzt noch Vista32, statt XP, würd das auch nochmal ordentlich Ram fressen, und dann ist der Spielraum nicht mehr sehr groß (will ja noch das Jahr 2009 mit dem PC überstehen ). Bei deftigen Details usw... glaub ich schon dass wir bald die 4 GB erreichen.... wissen tu ichs natürlich nicht.