Probleme mit Themida

Ultron

Hallo,

Ich bin neu hier im Forum.

Ich habe vor 2 Tagen Probleme gehabt mit Themida:

Ich hatte eine Datei heruntergeladen. Diese war durch Themida geschützt. Ich habe die Datei gestartet und ca 3 sekunden lang ist gar nichts passiert dann öffnete sich zwei mal das themida fenster, wo stand das das Programm durch eine demo Version von Themida geschützt ist. Da sonst nichts mehr passierte klickte ich auf das Themida Fenster, daraufhin fror der Pc ein. Also startete ich den Pc neu. Es erschienen wieder zwei Fenster von Themida die ich wegklickte, weil die Windows Oberfläche nicht erschien. Daraufhin recherchierte ich über Google. Dort habe ich dann eine Möglichkeit gefunden Themida zu entfernen. Ich startete den Pc neu und klickte nur auf das erste der beiden Themida Fenster. Die Windows Oberfläche erschien und ich startete den Taskmanager. Ich hatte erfahren, dass ein Prozess mit dem Namen server.exe beendet werden müsse. Ich brachte den Ordner in dem server.exe war in Erfahrung. Ich beendete den Prozess server.exe über den Taskmanager. Daraufhin verschwand das zweite Themida Fenster. server.exe war wie ich vorher herausgefunden hatte in C:\WINDOWS\system32\server (ein versteckter Ordner) ich versuchte diesen Ordner zu löschen erhielt allerdings eine Fehlermeldung, andere Programme würden auf kalog.dat zugreifen. Ich startete einen weiteren Versuch im abgesicherten Modus. Im abgesicherten Modus konnte ich den Ordner ohne Probleme löschen. Zuerst war damit alles wieder in Ordnung. Bis dahin hatte ich nicht bemerkt, dass ein Textdokument erschienen war welches upload hieß. Dieses Textdokument enthielt folgendes:

<?xml version="1.0" encoding="ISO-8859-1" ?>
<ProcessQuery>
<Time>07.07.2007 12:08:23</Time>
<WRPVersion>2.2.0.0</WRPVersion>
<WRFVersion>2.2.0.512</WRFVersion>
<Process>
<Process_ID>1408</Process_ID>
<Process_Name>svchost.exe</Process_Name>
<File_Name>C:\WINDOWS\system32\svchost.exe</File_Name>
<User_Name></User_Name>
<Thread_Count>5</Thread_Count>
<Base_Priority>Normal: 8</Base_Priority>
<Parent_Process_ID>996</Parent_Process_ID>
<Handle_Count>105</Handle_Count>
<Page_Fault_Count>901</Page_Fault_Count>
<Peak_Working_Set_Size>3420 K</Peak_Working_Set_Size>
<Working_Set_Size>3392 K</Working_Set_Size>
<Quota_Peak_Paged_Pool_Usage>64 K</Quota_Peak_Paged_Pool_Usage>
<Quota_Paged_Pool_Usage>56 K</Quota_Paged_Pool_Usage>
<Quota_Peak_Non-Paged_Pool_Usage>5 K</Quota_Peak_Non-Paged_Pool_Usage>
<Quota_Non-Paged_Pool_Usage>2 K</Quota_Non-Paged_Pool_Usage>
<Page_File_Usage>2400 K</Page_File_Usage>
<Peak_Page_File_Usage>2444 K</Peak_Page_File_Usage>
<Company_Name>Microsoft Corporation</Company_Name>
<File_Description>Generic Host Process for Win32 Services</File_Description>
<File_Version>5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)</File_Version>
<Internal_Name>svchost.exe</Internal_Name>
<Legal_Copyright>© Microsoft Corporation. All rights reserved.</Legal_Copyright>
<Legal_Trademarks></Legal_Trademarks>
<Original_Filename>svchost.exe</Original_Filename>
<Product_Name>Microsoft® Windows® Operating System</Product_Name>
<Product_Version>5.1.2600.2180</Product_Version>
<Comments></Comments>
<Special_Build></Special_Build>
<Private_Build></Private_Build>
<Language>English - United States</Language>
<LangID>1033</LangID>
<CodePage>1200</CodePage>
<Creation_Time>07.07.2007 12:01:13</Creation_Time>
<Kernel_Time>00:00:00:015</Kernel_Time>
<User_Time>00:00:00:015</User_Time>
<CPU>0,0</CPU>
<GDI_Objects>4</GDI_Objects>
<USER_Objects>1</USER_Objects>
<Read_Operation_Count>8</Read_Operation_Count>
<Write_Operation_Count>11</Write_Operation_Count>
<Other_Operation_Count>228</Other_Operation_Count>
<Read_Transfer_Count>448</Read_Transfer_Count>
<Write_Transfer_Count>4548</Write_Transfer_Count>
<Other_Transfer_Count>7612</Other_Transfer_Count>
<File_Size>14336</File_Size>
<File_Checksum>00009CA9</File_Checksum>
<Modules>
<ModuleRef>C:\WINDOWS\system32\svchost.exe</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\ntdll.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\KERNEL32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\ADVAPI32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\RPCRT4.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\ShimEng.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\AppPatch\AcGenral.DLL</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\USER32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\GDI32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\WINMM.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\ole32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\msvcrt.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\OLEAUT32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\MSACM32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\VERSION.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\SHELL32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\SHLWAPI.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\USERENV.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\uxtheme.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\IMM32.DLL</ModuleRef>
<ModuleRef>C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\COMCTL32.dll</ModuleRef>
<ModuleRef>c:\windows\system32\wudfsvc.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\SETUPAPI.dll</ModuleRef>
<ModuleRef>c:\windows\system32\WUDFPlatform.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\Secur32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\WINTRUST.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\CRYPT32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\MSASN1.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\IMAGEHLP.dll</ModuleRef>
</Modules>
</Process>
</ProcessQuery>

Ich machte mir weiterhin keine Sorgen, weil ich den Ordner ja schliesslich gelöscht hatte. 2- 3 Minuten nach dem nächstent Hochfahren fror der Pc allerdings erneut ein, dies hatte ich seitdem mehrmals zwischendurch ist es aber möglich für eine Sekunde mal die Maus zu bewegen. Also startete ich neu. Langsam machte ich mir wieder Sorgen wegen Themida ob vielleicht doch noch nicht alles entfernt ist. Ich recherchierte noch ein bisschen im Internet fand allerdings keine neuen Informationen.

Bereits einige Tage zuvor hatte ich mich mit einem Freund zu einem Online Spiel verabredet. Allerdings traten bei mir sehr schnell Fehler auf. Maus und Tastatur machten sich selbständig. Und es war für mich unmöglich vernünftig zu spielen. Ich beendete das Spiel.

Ich merkte, dass ich plötzlich 7 mal svchost.exe hatte. Vorher hatt ich es nur vier mal. Ich weiss das das eigentlich ganz normal aber da in dem Textdokument auch etwas von svchost stand fand ich das ein bisschen merkwürdig.

1 * svchost.exe LOKALER DIENST
1* Speicherauslastung 4620 K
2* svchost.exe NETZWERKDIENST
1* Speicherauslastung 3316 K
1* Speicherauslastung 4252 K
4* svchost.exe SYSTEM
1* Speicherauslastung 3388 K
1* Speicherauslastung 22872 K
1* Speicherauslastung 4836 K
1* Speicherauslastung 4104 K

Das ist aber nicht immer so. Gestern war es nur 6 mal svchost.exe

Also das ist alles was mir aufgefallen ist. Hat einer von euch eine Lösung für meine Probleme. Oder ist die einzigste Lösung ein Neuaufsetzen des Systems?

Hier noch mein Hijack this Log File:

Logfile of HijackThis v1.99.1
Scan saved at 10:34:55, on 10.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\ULI5289\ALi5289.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\dwn\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5FFD82AD-ED00-4CA5-81ED-3D4AF13D7D62} - (no file)
O2 - BHO: IEByteRange - {722D2939-A14A-41A9-9EAC-AB8F4E295819} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7A8F5B7A-A74F-495E-8A33-DF6226D2BAD8} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Programme\Free Download Manager\iefdmcks.dll
O2 - BHO: (no name) - {F2BFFC63-6121-41BD-8118-08EA2035D8FD} - C:\WINDOWS\system32\input32.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\opengl32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\opengl32.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://E:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://E:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://E:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Musashi\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} -
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} -
O16 - DPF: {7B41B7AC-3496-4C13-A70F-DE6B60A6A8A8} -
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} -
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{37F30F9B-991D-4081-BBB4-1B39F619EF5E}: NameServer = 223.86.0.78,41.0.0.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe



Vielen Dank schonmal im Vorraus.


MFG

Ultron