Bitte um Rat

Networker · 05.03.2008, 19:38

Im Prinzip geht es mir um die einträge am ende des logfiles un zwar:

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)

Und

O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)

Ich kann nämlich diese files nicht im Ordner finden und somit auch nicht entfernen antivir usw. finden auch nichts Außergewöhnliches.

Windows verhält sich normal alles funktioniert wie immer aber irgendwie machen mir diese einträge sorgen

Bitte um rat.

Logfile of HijackThis v1.99.1
Scan saved at 18:16:21, on 5.3.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DirectOutput] C:\Programme\Saitek\DirectOutput\DirectOutputManager.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\ProfilerU.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)

zado717 · 05.03.2008, 20:36

Hier mal eine Beschreibung zu spools.exe spools.exe Windows Prozess - Was ist das?

boston · 05.03.2008, 22:44

die beiden einträge weisen darauf hin, daß da malware aktiv war.
ansonsten ist das log unauffällig.
lade dir hier bitte
http://www.trendsecure.com/portal/en...HiJackThis.exe
die aktuelle version von hijackthis herunter, nenne die HiJackThis.exe in abc.exe um,
und dann poste das neue log.
dann lade dir hier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
combofix herunter,
alle programme, guards, firewall etc. schliessen.
combofix ausführen,
drücke die 1 und lass das programm durchlaufen.
währenddessen nichts am computer machen und dann
poste bitte das combofix-log combofix.txt.

Networker · 06.03.2008, 09:13

OK. Hab jetzt die beiden schritte durchlaufen lassen das kam dabei heraus.
Wobei bei comboFix kam ich nicht dazu die 1 zu drücken das Programm hat sofort angefangen zu scanne mit eine Warnung das 1/100 Pc den scan nicht überstehen.

Log HIJThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:50:07, on 06.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Saitek\DirectOutput\DirectOutputManager.exe
C:\Programme\Saitek\Software\ProfilerU.exe
C:\Programme\Saitek\Software\SaiMfd.exe
C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\NETWORKER\Desktop\abc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DirectOutput] C:\Programme\Saitek\DirectOutput\DirectOutputManager.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\ProfilerU.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOKUME~1\NETWOR~2\LOKALE~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\NETWORKER\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration Ghost Recon Advanced Warfighter® 2.LNK = C:\Programme\UBISOFT\Ghost Recon Advanced Warfighter 2\Support\Register\RegistrationReminder.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)

--
End of file - 4950 bytes

und ComboLOG

ComboFix 08-03-05.1 - NETWORKER 2008-03-06 8:52:40.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1644 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\NETWORKER\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS - svchost.exe: deleted 28672 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Thaddäus Nimz\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Thaddäus Nimz\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Thaddäus Nimz\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\enlfxgw.dll
C:\WINDOWS\rs.txt
C:\WINDOWS\system32\CcEvtSvc.exe
C:\WINDOWS\system32\DefLib.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_CCEVTSVC
-------\LEGACY_FCI
-------\LEGACY_MSUPDATE
-------\LEGACY_SYSLIBRARY
-------\CcEvtSvc
-------\FCI
-------\msupdate
-------\SysLibrary

((((((((((((((((((((((( Dateien erstellt von 2008-02-06 bis 2008-03-06 ))))))))))))))))))))))))))))))
.

2008-03-06 08:37 . 2008-03-06 08:37 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-03-05 13:28 . 2008-03-05 13:28 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-05 12:12 . 2008-02-12 20:06 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-05 12:12 . 2008-02-12 19:54 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-03-05 12:12 . 2008-02-12 19:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-05 12:12 . 2008-02-12 19:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-05 12:12 . 2008-02-12 19:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-05 12:12 . 2008-02-12 19:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-05 12:12 . 2008-02-12 19:54 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-05 09:38 . 2008-03-05 09:38 <DIR> d-------- C:\Programme\Avira
2008-03-05 09:38 . 2008-03-05 09:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-05 08:16 . 2008-03-05 08:16 <DIR> d-------- C:\Programme\Lavasoft
2008-03-05 08:16 . 2008-03-05 08:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-05 07:54 . 2008-03-05 15:31 <DIR> d-------- C:\Programme\a-squared Anti-Malware
2008-03-04 17:45 . 2008-03-04 16:32 270,336 --a------ C:\WINDOWS\apdqnxp.dll
2008-03-04 17:45 . 2008-03-04 16:32 217,088 --a------ C:\WINDOWS\btrklfr.dll
2008-03-04 17:45 . 2008-03-04 16:32 94,208 --a------ C:\WINDOWS\fqspogw.exe
2008-03-04 17:45 . 2008-03-04 17:45 15,360 --a------ C:\28.tmp
2008-03-04 17:45 . 2008-03-04 17:45 13,824 --a------ C:\WINDOWS\system32\wininet.exe
2008-03-04 17:45 . 2008-03-04 17:45 12,288 -r-h----- C:\WINDOWS\system32\syst5.exe
2008-03-04 17:45 . 2008-03-04 17:45 2,560 --a------ C:\WINDOWS\system32\svshost.dll
2008-03-04 13:31 . 2008-03-04 13:31 <DIR> d-------- C:\Programme\Audacity
2008-03-04 13:28 . 2001-07-24 23:43 409,600 --a------ C:\WINDOWS\system32\activemp3.ocx
2008-03-04 13:28 . 2001-08-08 22:00 40,960 --a------ C:\WINDOWS\system32\DGPNorm.ocx
2008-03-04 13:24 . 2008-03-04 13:26 <DIR> d-------- C:\Dokumente und Einstellungen\NETWORKER\Anwendungsdaten\Power Sound Editor Free
2008-03-04 13:23 . 2008-03-04 13:23 <DIR> d-------- C:\Programme\Power Sound Editor Free
2008-03-02 12:08 . 2008-03-02 12:08 40 --a------ C:\WINDOWS\WeatherSet.ini
2008-03-02 10:44 . 2008-03-02 10:44 <DIR> d-------- C:\Programme\Foxit Software
2008-03-02 06:32 . 2006-09-28 10:57 35,072 -ra------ C:\WINDOWS\system32\drivers\SaiBus.sys
2008-03-02 06:32 . 2006-09-28 10:57 13,824 -ra------ C:\WINDOWS\system32\drivers\SaiMini.sys
2008-03-02 06:31 . 2006-09-28 11:15 155,648 --a------ C:\WINDOWS\system32\nY.exe
2008-03-02 06:31 . 2006-09-28 11:19 57,344 --a------ C:\WINDOWS\system32\SAIGON.dll
2008-03-02 06:31 . 2006-09-05 09:09 45,056 --a------ C:\WINDOWS\system32\SAIKICK.dll
2008-03-02 06:30 . 2008-03-02 06:31 <DIR> d-------- C:\Programme\Saitek
2008-03-02 06:30 . 2008-03-02 06:30 4,668 --a------ C:\WINDOWS\system32\SaiC0762-E71E49E2-DBCF-4126-A839-416FBB75578E.pr0
2008-03-01 14:50 . 2008-03-01 14:50 22,328 --a------ C:\Dokumente und Einstellungen\NETWORKER\Anwendungsdaten\PnkBstrK.sys
2008-03-01 14:49 . 2008-03-01 14:49 311 --a------ C:\WINDOWS\game.ini
2008-03-01 14:14 . 2008-03-01 14:14 <DIR> d-------- C:\Programme\Activision
2008-03-01 14:04 . 2008-03-01 14:04 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-02-24 12:21 . 2003-08-03 04:56 1,146,184 --a------ C:\WINDOWS\system32\FM20.DLL
2008-02-24 12:21 . 2000-05-22 10:58 647,872 --a------ C:\WINDOWS\system32\mscomct2.ocx
2008-02-21 10:39 . 2008-03-02 07:26 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-02-21 10:28 . 2008-02-21 10:28 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2008-02-21 10:01 . 2008-02-21 10:01 <DIR> d-------- C:\Programme\FTG-ACARS v2
2008-02-18 11:50 . 2004-06-17 16:01 1,226 --a------ C:\WINDOWS\uninstall_Balearen-Gibraltar.ini
2008-02-18 08:54 . 2008-02-18 08:54 119 ---hs---- C:\WINDOWS\cnerolf.dat
2008-02-18 07:46 . 2008-03-05 10:41 2,145,386,496 --a------ C:\WINDOWS\MEMORY.DMP
2008-02-17 21:09 . 2008-02-17 21:09 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-02-17 21:09 . 2008-03-02 05:19 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-02-17 21:09 . 2008-03-01 14:58 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-02-17 21:09 . 2008-03-02 05:19 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-17 20:42 . 2003-08-26 09:54 930,980 --a------ C:\WINDOWS\PUNKBUSTER.RTP
2008-02-17 19:57 . 2008-02-17 19:57 <DIR> d-------- C:\Programme\Ubi Soft
2008-02-17 19:57 . 2002-09-28 20:09 89,360 -ra------ C:\WINDOWS\system32\VB5DB.DLL
2008-02-17 19:57 . 2002-09-28 20:09 69,632 -ra------ C:\WINDOWS\system32\xmltok.dll
2008-02-17 19:57 . 2002-09-28 20:09 36,864 -ra------ C:\WINDOWS\system32\xmlparse.dll
2008-02-17 19:57 . 2002-09-28 20:09 35,840 -ra------ C:\WINDOWS\system32\comdlg32.oca
2008-02-17 19:57 . 2002-09-28 20:09 29,184 -ra------ C:\WINDOWS\system32\MSINET.oca
2008-02-17 19:57 . 2002-12-23 17:54 26,096 -ra------ C:\WINDOWS\system32\xmlinst.exe
2008-02-17 19:57 . 2002-09-28 20:09 24,576 -ra------ C:\WINDOWS\system32\msxml3a.dll
2008-02-17 19:50 . 2008-02-17 19:50 <DIR> d-------- C:\Programme\Red Storm Entertainment
2008-02-16 00:04 . 2008-02-16 00:04 <DIR> dr-h----- C:\Dokumente und Einstellungen\NETWORKER\Anwendungsdaten\SecuROM
2008-02-16 00:04 . 2008-02-16 00:04 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-02-15 23:10 . 2008-02-15 23:10 <DIR> d-------- C:\Programme\EA Sports
2008-02-15 19:25 . 2004-08-04 13:00 28,288 --a--c--- C:\WINDOWS\system32\dllcache\xjis.nls
2008-02-15 19:23 . 2004-08-04 13:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-02-15 19:22 . 2004-08-04 13:00 1,677,824 --a--c--- C:\WINDOWS\system32\dllcache\chsbrkr.dll
2008-02-15 19:21 . 2004-05-13 00:39 876,653 --a--c--- C:\WINDOWS\system32\dllcache\fp4awel.dll
2008-02-15 19:20 . 2008-02-15 19:20 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-02-15 19:19 . 2004-08-04 13:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2008-02-15 19:19 . 2008-02-15 19:19 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-02-15 19:19 . 2008-02-15 19:19 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-02-15 19:19 . 2008-02-15 19:19 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-02-15 19:19 . 2008-02-15 19:19 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-02-15 19:18 . 2004-08-04 13:00 218,624 --a--c--- C:\WINDOWS\system32\dllcache\icwconn1.exe
2008-02-15 19:18 . 2004-08-04 13:00 86,016 --a--c--- C:\WINDOWS\system32\dllcache\icwconn2.exe
2008-02-15 19:18 . 2004-08-04 13:00 32,768 --a--c--- C:\WINDOWS\system32\dllcache\icwdl.dll
2008-02-15 19:18 . 2004-08-04 13:00 20,480 --a--c--- C:\WINDOWS\system32\dllcache\inetwiz.exe
2008-02-15 19:05 . 2007-12-17 13:53 159,458 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-02-15 18:57 . 2004-08-04 13:00 1,014,663 -ra------ C:\WINDOWS\SET40.tmp
2008-02-15 15:02 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2008-02-15 15:02 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf
2008-02-15 13:30 . 2008-02-15 13:32 <DIR> d-------- C:\Programme\FSFDT
2008-02-15 12:30 . 2008-02-15 12:30 <DIR> d-------- C:\Programme\Microsoft Games
2008-02-13 17:02 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-02-13 17:02 . 2004-08-03 23:10 85,376 --a------ C:\WINDOWS\system32\drivers\nabtsfec.sys
2008-02-13 17:02 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-02-13 17:02 . 2004-08-03 23:10 51,328 --a------ C:\WINDOWS\system32\drivers\msdv.sys
2008-02-13 17:02 . 2004-08-04 00:58 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax
2008-02-13 17:02 . 2004-08-03 23:10 19,328 --a------ C:\WINDOWS\system32\drivers\wstcodec.sys
2008-02-13 17:02 . 2004-08-03 23:10 17,024 --a------ C:\WINDOWS\system32\drivers\ccdecode.sys
2008-02-13 17:02 . 2004-08-03 22:58 5,504 --a------ C:\WINDOWS\system32\drivers\mstee.sys
2008-02-13 17:01 . 2008-02-13 17:01 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2008-02-13 17:01 . 2008-02-13 17:01 <DIR> d-------- C:\Programme\AGEIA Technologies
2008-02-13 17:00 . 2008-03-05 08:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-13 15:51 . 2008-02-13 15:51 <DIR> d-------- C:\Programme\UBISOFT
2008-02-12 23:17 . 2008-02-12 23:17 <DIR> d-------- C:\Programme\Virtual Earth 3D
2008-02-12 22:49 . 2008-02-12 22:49 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-02-12 22:37 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002574_.tmp
2008-02-12 22:31 . 2008-02-12 22:31 <DIR> d-------- C:\WINDOWS\EHome

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-05 15:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-03-02 05:31 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-18 09:14 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-17 19:01 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-02-15 20:53 15,600 ----a-w C:\WINDOWS\gdrv.sys
2008-02-12 19:41 --------- d-----w C:\Programme\Realtek
2008-02-12 19:40 --------- d-----w C:\Dokumente und Einstellungen\NETWORKER\Anwendungsdaten\InstallShield
2008-02-12 19:37 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-02-12 19:33 --------- d-----w C:\Programme\Intel
2008-02-12 19:14 --------- d-----w C:\Programme\microsoft frontpage
2008-02-12 19:11 --------- d-----w C:\Programme\Online-Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 07:36 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-05-25 07:07 1953792]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 09:08 16380416 C:\WINDOWS\RTHDCPL.exe]
"DirectOutput"="C:\Programme\Saitek\DirectOutput\DirectOutputManager.exe" [2006-09-28 11:16 151552]
"Profiler"="C:\Programme\Saitek\Software\ProfilerU.exe" [2006-09-05 09:12 184320]
"SaiMfd"="C:\Programme\Saitek\Software\SaiMfd.exe" [2006-09-28 11:19 126976]
"a-squared"="C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" [2008-03-05 11:22 1816208]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\UBISOFT\\Ghost Recon Advanced Warfighter 2\\graw2.exe"=
"C:\\Programme\\UBISOFT\\Ghost Recon Advanced Warfighter 2\\graw2_dedicated.exe"=
"C:\\Programme\\Red Storm Entertainment\\RavenShield\\system\\RavenShield.exe"=
"C:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\FSFDT\\FWInn\\FWINN.exe"=
"C:\\Programme\\FSFDT\\Control Panel\\FSFDTCP.exe"=
"C:\\WINDOWS\\system32\\wininet.exe"=

R3 SaiH0762;SaiH0762;C:\WINDOWS\system32\DRIVERS\SaiH0762.sys [2006-09-13 12:31]
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2008-02-15 21:53]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-06 08:58:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-06 9:04:11 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-06 08:04:08
.
2008-03-06 07:37:18 --- E O F ---

Hope auf Positives !

Networker · 06.03.2008, 09:35

Nun ja habe es nicht ausgehalten und schon mal hijackT noch mal laufen lassen die LOG danach:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

boston · 06.03.2008, 11:54

hallo, ich kann dir leider nichts positives berichten.
bei diesem befall: backdoor, rootkit, zlob

Zitat:

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOKUME~1\NETWOR~2\LOKALE~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\NETWORKER\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
2008-03-04 17:45 . 2008-03-04 16:32 270,336 --a------ C:\WINDOWS\apdqnxp.dll
2008-03-04 17:45 . 2008-03-04 16:32 217,088 --a------ C:\WINDOWS\btrklfr.dll
2008-03-04 17:45 . 2008-03-04 16:32 94,208 --a------ C:\WINDOWS\fqspogw.exe
2008-03-04 17:45 . 2008-03-04 17:45 15,360 --a------ C:\28.tmp
2008-03-04 17:45 . 2008-03-04 17:45 13,824 --a------ C:\WINDOWS\system32\wininet.exe
2008-03-04 17:45 . 2008-03-04 17:45 12,288 -r-h----- C:\WINDOWS\system32\syst5.exe
2008-03-04 17:45 . 2008-03-04 17:45 2,560 --a------ C:\WINDOWS\system32\svshost.dll

kann ich dir nur eins raten: rechner sofort vom netz und neuaufsetzen.
Technische Kompromittierung - Wikipedia
http://www.trojaner-board.de/12154-a...sicherung.html

Networker · 07.03.2008, 07:51

Vielen Dank! Boston das war ein schlag ins gesiecht nun aber, es bleibt ja keine andre Wahl als Neuaufsetzen

. Es ist jetzt das 3-mal in 2 Monaten das ich Windows neu installiere wegen irgendwelchen Sachen die kein Mensch braucht.

Danke noch mal, und Gruss!

boston · 07.03.2008, 12:13

dann solltest du dringend dein surfverhalten überdenken,
sonst sehen wir uns hier ganz schnell wieder.
außerdem alle software auf dem neuesten stand halten,

Zitat:

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

und über den einsatz eines anderen browsers nachdenken,
z.b. firefox mit noscript.

Bitte um Rat

Log-Analyse und Auswertung: Bitte um Rat

Bitte um Rat

Bitte um Rat

Bitte um Rat

Bitte um Rat

Bitte um Rat

Bitte um Rat

Bitte um Rat

Bitte um Rat

Ähnliche Themen: Bitte um Rat

05.03.2008, 20:36	#2
zado717	Bitte um Rat Hier mal eine Beschreibung zu spools.exe spools.exe Windows Prozess - Was ist das? __________________

06.03.2008, 09:35	#5
Networker	Bitte um Rat Nun ja habe es nicht ausgehalten und schon mal hijackT noch mal laufen lassen die LOG danach: Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit]

07.03.2008, 07:51	#7
Networker	Bitte um Rat Vielen Dank! Boston das war ein schlag ins gesiecht nun aber, es bleibt ja keine andre Wahl als Neuaufsetzen . Es ist jetzt das 3-mal in 2 Monaten das ich Windows neu installiere wegen irgendwelchen Sachen die kein Mensch braucht. Danke noch mal, und Gruss!