Hallo zusammen!
Heute morgen fuhr mein Rechner normal hoch, aber bis
auf den Dektop-Hintergrund und den Mauszeiger wurde nichts angezeigt.
Keine Taskleiste, kein Kontextmenü, nichts.
Die Farbeinstellungen der Grafikkarte wurden auch nicht übernommen.
Der Taskmanager funktionierte auch nicht.
Ich konnte den Mauszeiger bewegen, aber das war's auch schon.
Nachdem ich den Rechner 2x in den abgesicherten Modus (einmal mit, einmal ohne Netzwerktreiber) gestartet hatte (hier funktionierte alles bestens (Taskleiste, Kontextmenü..) und mit escan und Spybot durchgescannt hatte (ohne Meldungen), war ich auch nicht schlauer.
Dann bootete ich mit der Avira-Notfall-CD und scannte mein System.
Auch ohne Fund.
Nach diesem Scan jedoch fuhr ich meinen Rechner nochmal hoch und nun klappte alles normal. Taskleiste da und auch alles andere funktioniert wie es soll.
Kann mir bitte jemand mein Hijack-This-Logfile auswerten, denn ich weiss nicht, ob dieses Problem nicht doch einen Maleware-Hintergrund hat(te).
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:16:58, on 23.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Sicherheit\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe
D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Internet\Mozilla Firefox\firefox.exe
D:\Sicherheit\HiJackT\pruefcom.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Sicherheit\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [RemoteControl] D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\Multimedia\CyberLink\PowerDVD\Language\Language.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "D:\Multimedia\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] D:\Handy\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 4577 bytes
|
(wurde im eingeschränkten Konto erstellt)
Ich kann ehrlich gesagt, bis auf die 3fachen [CTFMON.EXE]-Einträge (sind die ok?), nichts auffälliges entdecken. Aber ich bin im besten Fall nur ein Amateur, deshalb wollte ich Euch Profis mal hinzuziehen. :-)
Wo ich schon mal dabei bin:
Ich habe gestern mit dem RootkitRevealer (im Admin-Modus) einen Scan durchgeführt und dabei kam folgendes Logfile heraus:
Zitat:
HKU\S-1-5-21-1844237615-1482476501-839522115-1003\Software\Microsoft\Keyboard\Native Media Players\QuickTime Player\ExePath 24.03.2008 21:04 43 bytes Data mismatch between Windows API and raw hive data.
HKU\S-1-5-21-1844237615-1482476501-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 08.05.2008 13:41 0 bytes Key name contains embedded nulls (*)
HKU\S-1-5-21-1844237615-1482476501-839522115-1003\Software\SecuROM\License information* 19.04.2008 11:08 0 bytes Key name contains embedded nulls (*)
HKU\S-1-5-21-1844237615-1482476501-839522115-1004\Software\Microsoft\Keyboard\Native Media Players\QuickTime Player\ExePath 17.05.2008 23:00 43 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC* 24.03.2008 09:59 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 24.03.2008 09:59 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}\ 26.03.2008 11:23 19 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\idx\_qd.cfs 18.05.2008 12:00 12.91 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\idx\_qk.cfs 21.05.2008 09:11 18.56 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\idx\_qk.del 21.05.2008 09:11 10 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\idx\_qo.cfs 21.05.2008 09:11 7.59 KB Hidden from Windows API.
|
Könnte mir bitte jemand das Ergebnis deuten.
Ich danke allen im Vorraus für Ihre Mühe und Arbeit.
Viele nehmen dieses Board und die Hilfe, die man hier findet, als selbstverständlich und deshalb möchte ich nochmal allen selbstlosen Helfern hier danken für ihren unermüdlichen Einsatz.
Gruß
Nez_Perces
PS: Ich gehe über einen Router ins Internet, habe alle relevanten Microsoft-Sicherheits-Patches drauf, unnötige Dienste abgeschaltet (per Script) und aktualisiere meinen Virenscanner täglich.
Weiss nicht, ob diese Infos Euch helfen, wollte es aber erwähnen.
23.05.2008, 06:35
Baum-Darstellung