Bitte um HijackThis Logfile AuswertungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
08.04.2010, 22:07
Member
Beiträge: 25 |
||
|
||
09.04.2010, 05:31
Moderator
Beiträge: 7805 |
#2
Pruefe die Daatei C:\DOKUME~1\Matschi\LOKALE~1\Temp\Yjd.exe bitte bie virustotal.com und poste den Link zum Ergebnis und arbeite dann bitte den Rest aus http://board.protecus.de/t23187.htm ab.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.04.2010, 07:58
Member
Themenstarter Beiträge: 25 |
#3
Moin Raman,
habe gestern noch S&D laufen lassen und es wurde einiges erkannt aber auch behoben. Mein System sollte nun wieder safe sein. Trotzdem Danke für deine Mühe! Gruss, Martin |
|
|
||
09.04.2010, 10:23
Moderator
Beiträge: 5694 |
#4
Das denke ich jedoch nicht
Mach noch was raman geschrieben hat. |
|
|
||
11.04.2010, 16:45
Member
Themenstarter Beiträge: 25 |
#5
Moin moin,
sorry für die späte Antwort. Zitat raman posteteDie Yjd.exe ist nicht mehr vorhanden. Anbei noch ein Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:44:53, on 11.04.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\Programme\ASUS\ASUS Data Security Manager\ADSMSrv.exe C:\Programme\ATKGFNEX\GFNEXSrv.exe C:\WINXP\system32\spoolsv.exe C:\Programme\AVG\AVG9\avgchsvx.exe C:\Programme\AVG\AVG9\avgrsx.exe C:\Programme\AVG\AVG9\avgcsrvx.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\igfxsrvc.exe C:\WINXP\system32\hkcmd.exe C:\WINXP\system32\igfxpers.exe C:\Programme\AmIcoSingLun\AmIcoSinglun.exe C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\Programme\ASUS\ATK Hotkey\MsgTranAgt.exe C:\Programme\ASUS\ATK Hotkey\HControlUser.exe C:\Programme\ASUS\ATK Hotkey\HControl.exe C:\Programme\ASUS\ATK Media\DMedia.exe C:\Programme\ASUS\ATKOSD2\ATKOSD2.exe C:\Programme\ASUS\ATK Hotkey\ATKOSD.exe C:\Programme\ASUS\Wireless Console 3\wcourier.exe C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\ASUS\ATK Hotkey\KBFiltr.exe C:\Programme\ASUS\ATK Hotkey\WDC.exe C:\Programme\ASUS\Splendid\ACMON.exe C:\Programme\Elantech\ETDCtrl.exe C:\Programme\FreePDF_XP\fpassist.exe C:\PROGRA~1\AVG\AVG9\avgtray.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE C:\WINXP\system32\ctfmon.exe C:\Programme\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe C:\WINXP\system32\ACEngSvr.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe C:\Programme\AVG\AVG9\avgwdsvc.exe C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\AVG\AVG9\avgnsx.exe C:\WINXP\system32\PnkBstrA.exe C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe C:\Programme\SRS Labs\SRS Premium Sound\SRS_VolSync.exe C:\WINXP\system32\svchost.exe C:\WINXP\system32\wbem\wmiapsrv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE C:\Programme\AVG\AVG9\avgcsrvx.exe C:\Programme\Notebook Hardware Control\nhc.exe C:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINXP\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINXP\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINXP\system32\igfxpers.exe O4 - HKLM\..\Run: [AmIcoSinglun] C:\Programme\AmIcoSingLun\AmIcoSinglun.exe O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [MsgTranAgt] C:\Programme\ASUS\ATK Hotkey\MsgTranAgt.exe O4 - HKLM\..\Run: [HControlUser] C:\Programme\ASUS\ATK Hotkey\HControlUser.exe O4 - HKLM\..\Run: [ATKHOTKEY] C:\Programme\ASUS\ATK Hotkey\HControl.exe O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMedia.exe O4 - HKLM\..\Run: [ATKOSD2] C:\Programme\ASUS\ATKOSD2\ATKOSD2.exe O4 - HKLM\..\Run: [Wireless Console 3] C:\Programme\ASUS\Wireless Console 3\wcourier.exe O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINXP\TEMP\E_S8F.tmp" /EF "HKLM" O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [SRS Premium Sound] "C:\Programme\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" /hideme O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: FancyStart daemon.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll O20 - Winlogon Notify: Aspwdflt - C:\Programme\ASUS\ASUS Data Security Manager\ASPWDFLT.dll O20 - Winlogon Notify: avgrsstarter - C:\WINXP\SYSTEM32\avgrsstx.dll O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe O23 - Service: ADSM Service (ADSMService) - ASUSTek Computer Inc. - C:\Programme\ASUS\ASUS Data Security Manager\ADSMSrv.exe O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Programme\ATKGFNEX\GFNEXSrv.exe O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Norton Internet Security - Unknown owner - C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe O23 - Service: SRS Volume Sync Service (SRS_VolSync_Service) - SRS Labs, Inc. - C:\Programme\SRS Labs\SRS Premium Sound\SRS_VolSync.exe -- End of file - 9781 bytes Viele Grüsse, Wohlma EDIT: bin gerade dabei die Schritte nochmal zu machen :-D Dieser Beitrag wurde am 11.04.2010 um 20:10 Uhr von Wohlma editiert.
|
|
|
||
11.04.2010, 21:10
Moderator
Beiträge: 5694 |
#6
Dann poste noch die Logs
|
|
|
||
11.04.2010, 21:42
Member
Themenstarter Beiträge: 25 |
#7
Soooo, also den ersten Malwarebytes Bericht kann ich leider nicht mehr finden also anbei der neue (wurde schon einiges behoben im ersten)
Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 3978 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 11.04.2010 21:37:51 mbam-log-2010-04-11 (21-37-51).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 106872 Laufzeit: 4 Minute(n), 49 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) und hier der hjt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:41:24, on 11.04.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\Programme\ASUS\ASUS Data Security Manager\ADSMSrv.exe C:\Programme\ATKGFNEX\GFNEXSrv.exe C:\WINXP\system32\spoolsv.exe C:\Programme\AVG\AVG9\avgchsvx.exe C:\Programme\AVG\AVG9\avgrsx.exe C:\Programme\AVG\AVG9\avgcsrvx.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\igfxsrvc.exe C:\WINXP\system32\hkcmd.exe C:\WINXP\system32\igfxpers.exe C:\Programme\AmIcoSingLun\AmIcoSinglun.exe C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\Programme\ASUS\ATK Hotkey\MsgTranAgt.exe C:\Programme\ASUS\ATK Hotkey\HControlUser.exe C:\Programme\ASUS\ATK Hotkey\HControl.exe C:\Programme\ASUS\ATK Media\DMedia.exe C:\Programme\ASUS\ATKOSD2\ATKOSD2.exe C:\Programme\ASUS\Wireless Console 3\wcourier.exe C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\ASUS\Splendid\ACMON.exe C:\Programme\ASUS\ATK Hotkey\ATKOSD.exe C:\Programme\Elantech\ETDCtrl.exe C:\Programme\ASUS\ATK Hotkey\KBFiltr.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\ASUS\ATK Hotkey\WDC.exe C:\PROGRA~1\AVG\AVG9\avgtray.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE C:\Programme\Notebook Hardware Control\nhc.exe C:\WINXP\system32\ctfmon.exe C:\Programme\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINXP\system32\ACEngSvr.exe C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe C:\Programme\AVG\AVG9\avgwdsvc.exe C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINXP\system32\PnkBstrA.exe C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe C:\Programme\SRS Labs\SRS Premium Sound\SRS_VolSync.exe C:\Programme\AVG\AVG9\avgnsx.exe C:\WINXP\system32\svchost.exe C:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE C:\Programme\AVG\AVG9\avgcsrvx.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINXP\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINXP\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINXP\system32\igfxpers.exe O4 - HKLM\..\Run: [AmIcoSinglun] C:\Programme\AmIcoSingLun\AmIcoSinglun.exe O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [MsgTranAgt] C:\Programme\ASUS\ATK Hotkey\MsgTranAgt.exe O4 - HKLM\..\Run: [HControlUser] C:\Programme\ASUS\ATK Hotkey\HControlUser.exe O4 - HKLM\..\Run: [ATKHOTKEY] C:\Programme\ASUS\ATK Hotkey\HControl.exe O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMedia.exe O4 - HKLM\..\Run: [ATKOSD2] C:\Programme\ASUS\ATKOSD2\ATKOSD2.exe O4 - HKLM\..\Run: [Wireless Console 3] C:\Programme\ASUS\Wireless Console 3\wcourier.exe O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINXP\TEMP\E_S8F.tmp" /EF "HKLM" O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [SRS Premium Sound] "C:\Programme\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" /hideme O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: FancyStart daemon.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll O20 - Winlogon Notify: Aspwdflt - C:\Programme\ASUS\ASUS Data Security Manager\ASPWDFLT.dll O20 - Winlogon Notify: avgrsstarter - C:\WINXP\SYSTEM32\avgrsstx.dll O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe O23 - Service: ADSM Service (ADSMService) - ASUSTek Computer Inc. - C:\Programme\ASUS\ASUS Data Security Manager\ADSMSrv.exe O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Programme\ATKGFNEX\GFNEXSrv.exe O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Norton Internet Security - Unknown owner - C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe O23 - Service: SRS Volume Sync Service (SRS_VolSync_Service) - SRS Labs, Inc. - C:\Programme\SRS Labs\SRS Premium Sound\SRS_VolSync.exe -- End of file - 9869 bytes und bei dem letzten report macht mein Notebook einfach mal garnichts mehr. Der ist voll ausgelastet und nichts geht mehr und der Laptop schmiert ab :-( |
|
|
||
11.04.2010, 22:45
Member
Themenstarter Beiträge: 25 |
#8
So nun habe ich auch das gmer log. Allerdings musste ich mein Laptop neu starten nachdem ich das Programm geschlossen habe weil er durchgängig voll ausgelastet war.
Danke nochmal für eure Hilfe :-) GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-04-11 22:34:43 Windows 5.1.2600 Service Pack 3 Running: eyz7y3r0.exe; Driver: C:\DOKUME~1\Matschi\LOKALE~1\Temp\pxtdypow.sys ---- System - GMER 1.0.15 ---- SSDT spzh.sys ZwCreateKey [0xB9EB50E0] SSDT spzh.sys ZwEnumerateKey [0xB9ECDDA4] SSDT spzh.sys ZwEnumerateValueKey [0xB9ECE132] SSDT spzh.sys ZwOpenKey [0xB9EB50C0] SSDT spzh.sys ZwQueryKey [0xB9ECE20A] SSDT spzh.sys ZwQueryValueKey [0xB9ECE08A] SSDT spzh.sys ZwSetValueKey [0xB9ECE29C] INT 0x63 ? 89C19BF8 INT 0x63 ? 89C19BF8 INT 0x63 ? 89C19BF8 INT 0x63 ? 89C19BF8 INT 0x63 ? 89997BF8 INT 0x63 ? 89997BF8 INT 0x63 ? 89C19BF8 INT 0x94 ? 89997BF8 INT 0xA4 ? 89997BF8 INT 0xB4 ? 89997BF8 ---- Kernel code sections - GMER 1.0.15 ---- ? spzh.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B906B8AC 5 Bytes JMP 899971D8 .text aapdobtx.SYS B8E3F386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...] .text aapdobtx.SYS B8E3F3AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...] .text aapdobtx.SYS B8E3F3C4 3 Bytes [00, 80, 02] .text aapdobtx.SYS B8E3F3C9 1 Byte [30] .text aapdobtx.SYS B8E3F3C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL} .text ... init C:\WINXP\system32\drivers\monfilt.sys entry point in "init" section [0xA8822280] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EB6042] spzh.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EB613E] spzh.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EB60C0] spzh.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EB6800] spzh.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EB66D6] spzh.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EC5B90] spzh.sys IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!READ_PORT_UCHAR] 1C959E88 IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!KeGetCurrentIrql] 9E880000 IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!KfRaiseIrql] 00001CB1 IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!KfLowerIrql] 0E798366 IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!HalGetInterruptVector] 74AAB000 IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!HalTranslateBusAddress] 8986C636 IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!KfReleaseSpinLock] 1C8B86C6 IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000 IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!READ_PORT_USHORT] 001C9686 IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200 IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CB2 IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[WMILIB.SYS!WmiSystemControl] 8800001C IAT \SystemRoot\System32\Drivers\aapdobtx.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB99E ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[184] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 89C181F8 AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/ASUSTek Computer Inc) AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\usbuhci \Device\USBPDO-0 898DD1F8 Device \Driver\sptd \Device\145981202 spzh.sys Device \Driver\dmio \Device\DmControl\DmIoDaemon 89BA91F8 Device \Driver\dmio \Device\DmControl\DmConfig 89BA91F8 Device \Driver\dmio \Device\DmControl\DmPnP 89BA91F8 Device \Driver\dmio \Device\DmControl\DmInfo 89BA91F8 Device \Driver\usbehci \Device\USBPDO-1 898C71F8 Device \Driver\usbuhci \Device\USBPDO-2 898DD1F8 Device \Driver\usbuhci \Device\USBPDO-3 898DD1F8 Device \Driver\usbuhci \Device\USBPDO-4 898DD1F8 AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\usbuhci \Device\USBPDO-5 898DD1F8 Device \Driver\usbehci \Device\USBPDO-6 898C71F8 Device \Driver\Ftdisk \Device\HarddiskVolume1 89C1A1F8 Device \Driver\usbuhci \Device\USBPDO-7 898DD1F8 Device \Driver\Cdrom \Device\CdRom0 897731F8 Device \Driver\Cdrom \Device\CdRom1 897731F8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort0 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort2 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort3 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\NetBT \Device\NetBt_Wins_Export 899671F8 Device \Driver\NetBT \Device\NetbiosSmb 899671F8 Device \Driver\PCI_PNP4952 \Device\0000004c spzh.sys AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\NetBT \Device\NetBT_Tcpip_{7A3ED903-363D-46BB-9F60-706110B7D9FB} 899671F8 Device \Driver\usbuhci \Device\USBFDO-0 898DD1F8 Device \Driver\usbuhci \Device\USBFDO-1 898DD1F8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 898F0500 Device \Driver\usbuhci \Device\USBFDO-2 898DD1F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 898F0500 Device \Driver\usbehci \Device\USBFDO-3 898C71F8 Device \Driver\usbuhci \Device\USBFDO-4 898DD1F8 Device \Driver\Ftdisk \Device\FtControl 89C1A1F8 Device \Driver\usbuhci \Device\USBFDO-5 898DD1F8 Device \Driver\NetBT \Device\NetBT_Tcpip_{24C05B21-EEFE-4341-9557-2A62F128EB81} 899671F8 Device \Driver\usbuhci \Device\USBFDO-6 898DD1F8 Device \Driver\usbehci \Device\USBFDO-7 898C71F8 Device \Driver\aapdobtx \Device\Scsi\aapdobtx1 896D41F8 Device \Driver\aapdobtx \Device\Scsi\aapdobtx1Port4Path0Target0Lun0 896D41F8 Device \FileSystem\Cdfs \Cdfs 896AB500 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x95 0x7D 0x26 0xC1 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x36 0x63 0xA2 0x40 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x0C 0xB7 0x9B 0xDC ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x95 0x7D 0x26 0xC1 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x36 0x63 0xA2 0x40 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x0C 0xB7 0x9B 0xDC ... ---- Files - GMER 1.0.15 ---- File C:\ADSM_PData_0150 0 bytes File C:\ADSM_PData_0150\DB 0 bytes File C:\ADSM_PData_0150\DB\SI.db 624 bytes File C:\ADSM_PData_0150\DB\UL.db 16 bytes File C:\ADSM_PData_0150\DB\VL.db 16 bytes File C:\ADSM_PData_0150\DB\WAL.db 2048 bytes File C:\ADSM_PData_0150\DragWait.exe 315392 bytes executable File C:\ADSM_PData_0150\_avt 512 bytes ---- EOF - GMER 1.0.15 ---- |
|
|
||
12.04.2010, 19:02
Moderator
Beiträge: 5694 |
#9
Schritt 1
Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop >Doppelklick auf die OTL.exe -->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen >Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output >Unter Extra Registry, wähle bitte Use SafeList >Klicke nun auf Run Scan links oben >Wenn der Scan beendet wurde werden 2 Logfiles erstellt >Poste die Logfiles in Code-Tags hier in den Thread. Schritt 1 Schritt 1 |
|
|
||
12.04.2010, 19:03
Moderator
Beiträge: 5694 |
#10
Schritt 1
• Eset Online Scanner (NOD32) • Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten. • Voraussetzung: Internet Explorer (IE) 5.0 oder höher • Haken bei "YES, I accept the Terms of Use" machen • Start • ActiveX-Steuerelement installieren • Start • Signaturen werden heruntergeladen • Haken machen bei "Remove found threads" • Haken machen bei "Remove found threads" und "Scan unwanted applications" • Scan • Scanende • Browser schließen • Explorer öffnen • C:\Programme\EsetOnlineScanner\log.txt • Log hier posten • Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen. • mit HJT folgenden Eintrag fixen: • O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} Schritt 2 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop >Doppelklick auf die OTL.exe -->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen >Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output >Unter Extra Registry, wähle bitte Use SafeList >Klicke nun auf Run Scan links oben >Wenn der Scan beendet wurde werden 2 Logfiles erstellt >Poste die Logfiles in Code-Tags hier in den Thread. Schritt 3 Scan mit SystemLook Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop. Download Mirror #1 - Download Mirror #2 • Doppelklick auf die SystemLook.exe, um das Tool zu starten. Vista-User mit Rechtsklick und als Administrator starten. • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools: Code :filefind• Klicke nun auf den Button Look, um den Scan zu starten. • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten. • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. |
|
|
||
12.04.2010, 21:20
Member
Themenstarter Beiträge: 25 |
#11
Sooooo :-)
Schritt 1: Code
Konnte leider nicht folgendes machen: • mit HJT folgenden Eintrag fixen: • O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} da die Datei nicht mehr da ist. hier das Log: Code
Schritt 2: Code OTL logfile created on: 12.04.2010 21:12:32 - Run 1 Code OTL Extras logfile created on: 12.04.2010 21:12:32 - Run 1Schritt 3: Code SystemLook v1.0 by jpshortstuff (11.01.10)Gruss Wohlma |
|
|
||
12.04.2010, 21:42
Moderator
Beiträge: 5694 |
#12
Werde morgen Mittag wieder hier sein und die nächsten Schritte posten
|
|
|
||
13.04.2010, 08:21
Member
Themenstarter Beiträge: 25 |
#13
Alles klar... danke :-)
|
|
|
||
13.04.2010, 18:57
Moderator
Beiträge: 5694 |
#14
Schritt 1
Du hast noch Rest von Norton Internet Security auf dem System. Benutze das Removal Tool um diese zu entfernen. Schritt 2 Filesharing Ich poste mal folgenden Hinweis, nicht mit erhobenem Zeigefinger, sondern weil Du Dir dessen vielleicht nicht bewusst bist. Du benutzt P2P-Programme. Wenn Du ein sauberes System bekommen respektive behalten möchtest, solltest Du auf den Download von Software aus solchen Quellen verzichten, denn auch wenn das P2P-Programm selbst "sauber" ist, bewahrt es Dich nicht davor, evtl. schädliche Programme auf Deinen Rechner zu holen. Du siehst, die Gefahr ist sehr groß, sich über diese Wege zu infizieren. Aus diesem Grund bereinige ich lieber Systeme, die keine solchen Programme installiert haben und bitte Dich daher alle Programme, die in diese Richtung gehen, während unserer Bereinigung komplett und rückstandlos über Systemsteuerung => Software zu deinstallieren Zitat VuzeSchritt 3 Mach bitte noch folgende Onlinescans: FSecure und Bitdefender http://forum.hijackthis.de/allgemeines/25893-kostenlose-online-scanner.html Schritt 4 Falls keine Probleme mehr vorhanden sind, wars dass |
|
|
||
Irgendwie habe ich das doofe Gefühl das es mich erwischt hat heute.
Könnt ihr euch das mal anschauen?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54:24, on 08.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\ASUS\ASUS Data Security Manager\ADSMSrv.exe
C:\Programme\ATKGFNEX\GFNEXSrv.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\AVG\AVG9\avgchsvx.exe
C:\Programme\AVG\AVG9\avgrsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\Ycusoa.exe
C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programme\AVG\AVG9\avgwdsvc.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\system32\PnkBstrA.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\Programme\SRS Labs\SRS Premium Sound\SRS_VolSync.exe
C:\WINXP\system32\svchost.exe
C:\Programme\AVG\AVG9\avgnsx.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\system32\hkcmd.exe
C:\WINXP\system32\igfxpers.exe
C:\Programme\AmIcoSingLun\AmIcoSinglun.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\ASUS\ATK Hotkey\MsgTranAgt.exe
C:\Programme\ASUS\ATK Hotkey\HControlUser.exe
C:\WINXP\system32\igfxsrvc.exe
C:\Programme\ASUS\ATK Hotkey\HControl.exe
C:\Programme\ASUS\ATK Media\DMedia.exe
C:\Programme\ASUS\ATKOSD2\ATKOSD2.exe
C:\Programme\ASUS\Wireless Console 3\wcourier.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe
C:\Programme\ASUS\ATK Hotkey\ATKOSD.exe
C:\WINXP\system32\ACEngSvr.exe
C:\Programme\ASUS\ATK Hotkey\KBFiltr.exe
C:\Programme\ASUS\ATK Hotkey\WDC.exe
C:\Programme\AVG\AVG9\avgui.exe
C:\DOKUME~1\Matschi\LOKALE~1\Temp\Yjd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Matschi\Eigene Dateien\Downloads\spybotsd162.exe
C:\DOKUME~1\Matschi\LOKALE~1\Temp\is-42BOL.tmp\spybotsd162.tmp
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll
O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINXP\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINXP\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINXP\system32\igfxpers.exe
O4 - HKLM\..\Run: [AmIcoSinglun] C:\Programme\AmIcoSingLun\AmIcoSinglun.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [MsgTranAgt] C:\Programme\ASUS\ATK Hotkey\MsgTranAgt.exe
O4 - HKLM\..\Run: [HControlUser] C:\Programme\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKHOTKEY] C:\Programme\ASUS\ATK Hotkey\HControl.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Programme\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [Wireless Console 3] C:\Programme\ASUS\Wireless Console 3\wcourier.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINXP\TEMP\E_S8F.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [MSConfig] C:\WINXP\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [SRS Premium Sound] "C:\Programme\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" /hideme
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\Matschi\LOKALE~1\Temp\Yjd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: FancyStart daemon.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: Aspwdflt - C:\Programme\ASUS\ASUS Data Security Manager\ASPWDFLT.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINXP\SYSTEM32\avgrsstx.dll
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: ADSM Service (ADSMService) - ASUSTek Computer Inc. - C:\Programme\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Programme\ATKGFNEX\GFNEXSrv.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security - Unknown owner - C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: SRS Volume Sync Service (SRS_VolSync_Service) - SRS Labs, Inc. - C:\Programme\SRS Labs\SRS Premium Sound\SRS_VolSync.exe
--
End of file - 9751 bytes
Vielen Dank für jede Antwort schonmal vorab.
Gruss,
Wohlma
Edit: Nu is es amtlich :-( der explorer öffnet sich immer von alleine mit schpam