C:\Programme\Analog Devices\Core\smax4pnp.exe

#0
15.03.2010, 10:39
...neu hier

Beiträge: 6
#1 Hallo,

ein Kollege sprach mich an das sein Recher sehr lange brauchen würde bis er morgens hochgefahren ist. Das booten als solches geht fix aber nach dem eingeben der Anmeldeinformationen dauert es ultralange bis der Desktop geladen ist und z.B. das Startmenü auf anklicken reagiert. Ich habe dann mal in die msconfig reingekuckt und da ist mir dann der Eintrag C:\Programme\Analog Devices\Core\smax4pnp.exe aufgefallen. Dieser hat mich hier zum Board gebracht.

Ich bin jetzt gerade dabei http://board.protecus.de/t23187.htm abzuarbeiten. Meine Frage ist jetzt: Sollte ich mir ernsthaft gedanken machen das sich in "meinem" Netz ein Trojaner ausgebreitet hat!? Weil dann habe ich als Admin hier ja wohl ein Riesen Problem . . .

Die Logs werde ich nach und nach posten.

Mfg ein leicht verunsicherter Admin
__________
Mein Computer kann alles, wegen seiner 32 Bit!
Wenn ich 32 Bit intus habe, kann ich auch alles!
Seitenanfang Seitenende
15.03.2010, 11:07
...neu hier

Themenstarter

Beiträge: 6
#2 Die Log von Malwarebytes


__________
Mein Computer kann alles, wegen seiner 32 Bit!
Wenn ich 32 Bit intus habe, kann ich auch alles!
Seitenanfang Seitenende
15.03.2010, 12:21
Moderator

Beiträge: 5694
#3 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.


Dies dürfte zur Soundkarte gehören. Aber schauen wir uns das System doch mal genauer an ;)

Schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.
Seitenanfang Seitenende
15.03.2010, 13:15
...neu hier

Themenstarter

Beiträge: 6
#4 Hallo,

den Lauf von GMER hab ich dann mal abgebrochen.

Code


OTL logfile created on: 15.03.2010 13:03:39 - Run 1
OTL by OldTimer - Version 3.1.37.1     Folder = C:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

510,00 Mb Total Physical Memory | 247,00 Mb Available Physical Memory | 48,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1024 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 71,45 Gb Total Space | 60,13 Gb Free Space | 84,15% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: computer
Current User Name: Administrator
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Trend Micro\Client Server Security Agent\PccNTMon.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\Client Server Security Agent\TmListen.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\Client Server Security Agent\NTRtScan.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\Client Server Security Agent\CNTAoSMgr.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\Client Server Security Agent\TmPfw.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\Client Server Security Agent\TmProxy.exe (Trend Micro Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\RealVNC\VNC4\vncviewer.exe (RealVNC Ltd.)
PRC - C:\Programme\RealVNC\VNC4\winvnc4.exe (RealVNC Ltd.)
PRC - C:\Programme\Citrix\ICA Client\pnagent.exe (Citrix Systems, Inc.)
PRC - C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\OTL.exe (OldTimer Tools)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (aspnet_state) --  File not found
SRV - (TMBMServer) -- C:\Programme\Trend Micro\BM\TMBMSRV.exe (Trend Micro Inc.)
SRV - (tmlisten) -- C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe (Trend Micro Inc.)
SRV - (ntrtscan) -- C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe (Trend Micro Inc.)
SRV - (TmPfw) -- C:\Programme\Trend Micro\Client Server Security Agent\TmPfw.exe (Trend Micro Inc.)
SRV - (TmProxy) -- C:\Programme\Trend Micro\Client Server Security Agent\TmProxy.exe (Trend Micro Inc.)
SRV - (WinVNC4) -- C:\Programme\RealVNC\VNC4\WinVNC4.exe (RealVNC Ltd.)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (TmFilter) -- C:\Programme\Trend Micro\Client Server Security Agent\TmXPFlt.sys (Trend Micro Inc.)
DRV - (TmPreFilter) -- C:\Programme\Trend Micro\Client Server Security Agent\tmpreflt.sys (Trend Micro Inc.)
DRV - (VSApiNt) -- C:\Programme\Trend Micro\Client Server Security Agent\vsapiNT.sys (Trend Micro Inc.)
DRV - (tmactmon) -- C:\WINDOWS\system32\drivers\tmactmon.sys (Trend Micro Inc.)
DRV - (tmevtmgr) -- C:\WINDOWS\system32\drivers\tmevtmgr.sys (Trend Micro Inc.)
DRV - (tmcomm) -- C:\WINDOWS\system32\drivers\tmcomm.sys (Trend Micro Inc.)
DRV - (tmcfw) -- C:\WINDOWS\system32\drivers\TM_CFW.sys (Trend Micro Inc.)
DRV - (tmtdi) -- C:\WINDOWS\system32\drivers\tmtdi.sys (Trend Micro Inc.)
DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.)
DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (senfilt) -- C:\WINDOWS\system32\drivers\senfilt.sys (Creative Technology Ltd.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.)
DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation)
DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation)
DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation)
DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation)
DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.)
DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.)
DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.)
DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bing.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.55.254:8080

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.startup.homepage: "http://www.euro.dell.com/"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..network.proxy.ftp: "192.168.55.254"
FF - prefs.js..network.proxy.ftp_port: 8080
FF - prefs.js..network.proxy.gopher: "192.168.55.254"
FF - prefs.js..network.proxy.gopher_port: 8080
FF - prefs.js..network.proxy.http: "192.168.55.254"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.no_proxies_on: "localhost,127.0.0.1"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "192.168.55.254"
FF - prefs.js..network.proxy.socks_port: 8080
FF - prefs.js..network.proxy.ssl: "192.168.55.254"
FF - prefs.js..network.proxy.ssl_port: 8080
FF - prefs.js..network.proxy.type: 1

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.01.21 08:41:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.01.21 08:41:04 | 000,000,000 | ---D | M]

[2010.01.21 08:41:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.SMOLKA-DOM\Anwendungsdaten\Mozilla\Extensions
[2010.01.21 08:41:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.SMOLKA-DOM\Anwendungsdaten\Mozilla\Firefox\Profiles\jlkd13d1.default\extensions
[2010.01.21 08:41:04 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.12.22 04:57:54 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.12.22 04:57:54 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.12.22 04:57:54 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.12.22 04:57:54 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.12.22 04:57:54 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2004.08.04 15:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - No CLSID value found.
O4 - HKLM..\Run: [OE] C:\Programme\Trend Micro\Client Server Security Agent\TMAS_OE\TMAS_OEMon.exe (Trend Micro Inc.)
O4 - HKLM..\Run: [OfficeScanNT Monitor] C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe (Trend Micro Inc.)
O4 - HKLM..\Run: [OSCD_Creator] c:\dell\MEDIAEXE\PreODM.exe ()
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
O4 - HKLM..\RunOnce: [OSCD_Creator] c:\Dell\MediaExe\PreODM.EXE ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\Program Neighborhood Agent.lnk = C:\Programme\Citrix\ICA Client\pnagent.exe (Citrix Systems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O15 - HKCU\..Trusted Domains: microsoft.com ([update] http in Vertrauenswrdige Sites)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} https://smolka-dc:4343/officescan/console/ClientInstall/WinNTChk.cab (ObjWinNTCheck Class)
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} https://smolka-dc:4343/officescan/console/ClientInstall/setup.cab (OfficeScan Corp Edition Web-Deployment SetupCtrl Class)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1263986102740 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC30} https://smolka-dc:4343/SMB/console/html/root/AtxEnc.cab (Encrypt Class)
O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC44} https://smolka-dc:4343/SMB/console/html/root/AtxEnc.cab (Encrypt Class)
O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBED40} https://smolka-dc:4343/SMB/console/html/root/AtxConsole.cab (Security Server Management-Konsole)
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = smolka-dom.de
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.08.13 13:54:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.03.15 12:51:43 | 000,555,008 | ---- | C] (OldTimer Tools) -- C:\OTL.exe
[2010.03.15 08:40:20 | 003,558,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\moviemk.exe
[2008.12.18 13:30:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2005.12.19 07:47:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\McAfee.com Personal Firewall
[2004.08.13 14:00:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2004.08.13 13:47:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2004.08.13 13:47:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.03.15 13:01:56 | 001,835,008 | -H-- | M] () -- C:\Dokumente und Einstellungen\administrator.SMOLKA-DOM\NTUSER.DAT
[2010.03.15 13:01:36 | 000,014,618 | ---- | M] () -- C:\WINDOWS\cfgall.ini
[2010.03.15 13:01:31 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.03.15 12:49:51 | 000,555,008 | ---- | M] (OldTimer Tools) -- C:\OTL.exe
[2010.03.15 09:58:27 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\administrator.SMOLKA-DOM\ntuser.ini
[2010.03.15 09:47:28 | 000,000,031 | ---- | M] () -- C:\tmuninst.ini
[2010.03.15 09:44:58 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.03.15 09:44:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.03.15 09:44:55 | 534,827,008 | -HS- | M] () -- C:\hiberfil.sys
[2010.03.15 09:37:45 | 001,000,084 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.03.15 09:37:45 | 000,434,668 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.03.15 09:37:45 | 000,409,710 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.03.15 09:37:45 | 000,080,854 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.03.15 09:37:45 | 000,064,520 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.03.15 09:36:31 | 000,000,268 | -H-- | M] () -- C:\sqmdata07.sqm
[2010.03.15 09:36:31 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt07.sqm
[2010.03.15 08:49:14 | 000,000,268 | -H-- | M] () -- C:\sqmdata06.sqm
[2010.03.15 08:49:14 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt06.sqm
[2010.03.15 08:43:45 | 000,001,879 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.03.04 06:11:54 | 000,423,676 | ---- | M] () -- C:\WINDOWS\System32\prfh0407.dat
[2010.03.04 06:11:54 | 000,077,372 | ---- | M] () -- C:\WINDOWS\System32\prfc0407.dat
[2010.02.19 13:45:57 | 000,000,268 | -H-- | M] () -- C:\sqmdata05.sqm
[2010.02.19 13:45:56 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt05.sqm
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2009.12.14 18:45:28 | 000,000,446 | ---- | C] () -- C:\Dokumente und Einstellungen\administrator.SMOLKA-DOM\Anwendungsdaten\OfficeScanWebDeployment.ini
[2008.02.27 10:03:27 | 000,004,537 | ---- | C] () -- C:\WINDOWS\cfgrt.ini
[2008.02.27 10:03:27 | 000,003,691 | ---- | C] () -- C:\WINDOWS\cfgspyrt.ini
[2007.10.09 08:13:00 | 000,003,689 | ---- | C] () -- C:\WINDOWS\cfgrs_ex.ini
[2007.10.09 08:12:59 | 000,004,509 | ---- | C] () -- C:\WINDOWS\cfgrs.ini
[2007.09.28 08:08:51 | 000,014,618 | ---- | C] () -- C:\WINDOWS\cfgall.ini
[2007.06.27 08:06:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI
[2007.06.27 08:06:12 | 000,034,072 | ---- | C] () -- C:\WINDOWS\System32\jsmudrv4.dll
[2007.06.27 08:06:12 | 000,005,026 | ---- | C] () -- C:\WINDOWS\System32\jsmudrv5.dll
[2006.09.01 13:49:41 | 000,029,035 | ---- | C] () -- C:\WINDOWS\cstasp.ini
[2005.12.19 07:54:20 | 000,000,157 | ---- | C] () -- C:\Dokumente und Einstellungen\administrator.SMOLKA-DOM\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005.12.06 16:02:01 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005.12.06 15:37:46 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll
[2005.12.06 15:37:28 | 000,000,413 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2005.08.02 15:00:16 | 000,000,611 | ---- | C] () -- C:\WINDOWS\System32\dlccplc.ini
[2004.08.13 14:04:30 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004.08.13 13:51:43 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
< End of report >


Und die smax4pnp.exe ist wirklich nichts böses!? Hab mir schon gedanken deswegen gemacht
__________
Mein Computer kann alles, wegen seiner 32 Bit!
Wenn ich 32 Bit intus habe, kann ich auch alles!
Seitenanfang Seitenende
15.03.2010, 13:37
Moderator

Beiträge: 5694
#5 Nee ;)

O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
http://www.bleepingcomputer.com/startups/SoundMAXPnP-5047.html

Also schädliches sehe ich nichts.

Aber poste noch das zweite Log von OTL Extra.txt.

Zur Sicherheit mach bitte noch folgende Onlinescans: FSecure, Bitdefender, ESET
http://forum.hijackthis.de/allgemeines/25893-kostenlose-online-scanner.html

Wenn diese was finden dann berichte.
Seitenanfang Seitenende
15.03.2010, 13:49
...neu hier

Themenstarter

Beiträge: 6
#6

Code


OTL Extras logfile created on: 15.03.2010 13:03:39 - Run 1
OTL by OldTimer - Version 3.1.37.1     Folder = C:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

510,00 Mb Total Physical Memory | 247,00 Mb Available Physical Memory | 48,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1024 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 71,45 Gb Total Space | 60,13 Gb Free Space | 84,15% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: SMOLKA-JB
Current User Name: Administrator
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntivirus]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"18602:TCP" = 18602:TCP:*:Enabled:Trend Micro Client/Server Security Agent Listener

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\mn\Desktop\gast.exe" = C:\Dokumente und Einstellungen\mn\Desktop\gast.exe:*:Disabled:pcvisit 2005 gast -- File not found
"C:\Programme\MSN Messenger\msnmsgr.exe" = C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0 -- File not found
"C:\Programme\MSN Messenger\msncall.exe" = C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone) -- File not found

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\MSN Messenger\msnmsgr.exe" = C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0 -- File not found
"C:\Programme\MSN Messenger\msncall.exe" = C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone) -- File not found


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{17334AAF-C9E7-483B-9F45-E3FCAF07FFA7}" = Intel(R) PROSet for Wired Connections
"{1A655D51-1423-48A3-B748-8F5A0BE294C8}" = Microsoft Visual J# .NET Redistributable Package 1.1
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 17
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{5905F42D-3F5F-4916-ADA6-94A3646AEE76}" = Dell Driver Reset Tool
"{7148F0A8-6813-11D6-A77B-00B0D0142030}" = Java 2 Runtime Environment, SE v1.4.2_03
"{74F7662C-B1DB-489E-A8AC-07A06B24978B}" = Dell System Restore
"{82313955-A85F-464D-808C-BF947565B726}" = Alcatel PIMphony 4.04.277
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics 2 Driver
"{94721EA3-7EA6-43EA-B99C-A5D0E3C66240}" = 924PLC32
"{AC76BA86-0000-0000-0000-6028747ADE01}" = Adobe Acrobat - Reader 6.0.2 Update
"{AC76BA86-7AD7-1031-7B44-A00000000001}" = Adobe Reader 6.0.1 - Deutsch
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D2988E9B-C73F-422C-AD4B-A66EBE257120}" = MCU
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E92B7A19-5FD5-4AEE-9FEF-7AD5DD3A675E}" = MetaFrame Presentation Server Client
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"JobGen Plus" = JobGen Plus
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"OfficeScanNT" = Trend Micro Client/Server Security Agent
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"RealVNC_is1" = VNC Free Edition 4.1.2
"Windows XP Service Pack" = Windows XP Service Pack 3

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 14.12.2009 07:33:07 | Computer Name = SMOLKA-JB | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.16945, fehlgeschlagenes
Modul flash.ocx, Version 7.0.19.0, Fehleradresse 0x000235d6.

Error - 14.12.2009 13:42:30 | Computer Name = SMOLKA-JB | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung pccntmon.exe, Version 15.0.0.1307, fehlgeschlagenes
Modul pccntmon.exe, Version 15.0.0.1307, Fehleradresse 0x0007031e.

Error - 14.12.2009 13:52:58 | Computer Name = SMOLKA-JB | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitberschreitung
zurckgegeben.  .

Error - 14.12.2009 13:52:58 | Computer Name = SMOLKA-JB | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Der angegebene Server kann den angeforderten
Vorgang nicht ausfhren.  .

Error - 19.02.2010 08:43:54 | Computer Name = SMOLKA-JB | Source = WinVNC4 | ID = 1
Description = SConnection: AuthFailureException: Authentication failure    

Error - 23.02.2010 06:48:25 | Computer Name = SMOLKA-JB | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.16981, fehlgeschlagenes
Modul flash.ocx, Version 7.0.19.0, Fehleradresse 0x0009be18.

[ System Events ]
Error - 16.12.2009 01:46:49 | Computer Name = SMOLKA-JB | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Trend Micro Client/Server Security Agent Proxy-Dienst"
wurde aufgrund folgenden Fehlers nicht gestartet:   %%1053

Error - 28.01.2010 02:12:57 | Computer Name = SMOLKA-JB | Source = Service Control Manager | ID = 7009
Description = Zeitberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Trend
Micro Client/Server Security Agent Proxy-Dienst.

Error - 28.01.2010 02:12:57 | Computer Name = SMOLKA-JB | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Trend Micro Client/Server Security Agent Proxy-Dienst"
wurde aufgrund folgenden Fehlers nicht gestartet:   %%1053

Error - 28.01.2010 05:08:48 | Computer Name = SMOLKA-JB | Source = Print | ID = 22
Description = Die Aktualisierung der Einstellungen fr den Drucker \\wts02\Tobit
FaxWare,LocalOnly Treiber C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\Unidrvui.dll
Fehler 5 ist fehlgeschlagen.

Error - 28.01.2010 05:08:48 | Computer Name = SMOLKA-JB | Source = Print | ID = 22
Description = Die Aktualisierung der Einstellungen fr den Drucker \\smolka-fs\Verwaltung_Normalpapier,LocalOnly
Treiber C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\UNIDRVUI.DLL Fehler 5 ist fehlgeschlagen.

Error - 28.01.2010 05:08:48 | Computer Name = SMOLKA-JB | Source = Print | ID = 22
Description = Die Aktualisierung der Einstellungen fr den Drucker \\smolka-fs\Vertrieb_Normalpapier,LocalOnly
Treiber C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\UNIDRVUI.DLL Fehler 5 ist fehlgeschlagen.

Error - 11.02.2010 04:05:52 | Computer Name = SMOLKA-JB | Source = Service Control Manager | ID = 7009
Description = Zeitberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Trend
Micro Client/Server Security Agent Proxy-Dienst.

Error - 11.02.2010 04:06:00 | Computer Name = SMOLKA-JB | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Trend Micro Client/Server Security Agent Proxy-Dienst"
wurde aufgrund folgenden Fehlers nicht gestartet:   %%1053

Error - 23.02.2010 02:09:50 | Computer Name = SMOLKA-JB | Source = Service Control Manager | ID = 7009
Description = Zeitberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Trend
Micro Client/Server Security Agent Proxy-Dienst.

Error - 23.02.2010 02:09:50 | Computer Name = SMOLKA-JB | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Trend Micro Client/Server Security Agent Proxy-Dienst"
wurde aufgrund folgenden Fehlers nicht gestartet:   %%1053


< End of report >


Hier schonmal die zweite Log. Die Onlinescanner laufen. Wenn die was finden poste ich es hier.
__________
Mein Computer kann alles, wegen seiner 32 Bit!
Wenn ich 32 Bit intus habe, kann ich auch alles!
Seitenanfang Seitenende
15.03.2010, 16:44
...neu hier

Themenstarter

Beiträge: 6
#7 Bitdefender und F-Secure brechen mit Fehler ab. ESET hat nix gefunden. Habe dann nochmal den von CA drüber laufen lassen der hat auch nichts gefunden.
__________
Mein Computer kann alles, wegen seiner 32 Bit!
Wenn ich 32 Bit intus habe, kann ich auch alles!
Seitenanfang Seitenende
16.03.2010, 06:16
Moderator

Beiträge: 5694
#8 Java aktualisieren

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.

Downloade nun die Offline-Version von Java (Java SE Runtime Environment (JRE) 6 Update 18) von SUN. Wenn Du auf Download geklickt hast, erscheint eine Seite, wo Du das Betriebssystem auswählen musst (also Windows) und ein Häkchen bei "I agree" setzen musst. Dann auf den Button "Continue" klicken. Dort die jre-6u18-windows-i586.exe downloaden und anschließend installieren, eventuell angebotene Toolbars nicht mitinstallieren

Adobe Reader updaten

Adobe Reader: sehe nach, ob neuere Versionen vorhanden sind

Programme updaten

Du verwendest zum Teil veraltete Software, die Sicherheitslücken auf deinem System bildet, durch die Malware eindringen kann. Alle Software, die du auf deinem Rechner hast, muss regelmäßig geupdatet werden, auch dann, wenn du sie nicht verwendest. Eine einfache Möglichkeit, diese Software Updates zu überwachen, bietet der Secunia Inspektor.

Sonst sehe ich nichts ;)
Seitenanfang Seitenende
16.03.2010, 13:11
...neu hier

Themenstarter

Beiträge: 6
#9 Besten Dank für die Hilfe.

Jetzt kann ich ja wieder ruhig schlafen :-)
__________
Mein Computer kann alles, wegen seiner 32 Bit!
Wenn ich 32 Bit intus habe, kann ich auch alles!
Seitenanfang Seitenende
16.03.2010, 13:19
Moderator

Beiträge: 5694
#10 Genau ;) Schlaf gut ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: