Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Rem rthdcpl.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.11.2008, 18:53   #1
Sivo
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Hallo Leute,

ich nutze XP SP3 und Kaspersky Internet Security 2009.

Ich hatte vor einigen Wochen meinen Rechner mit Avira gereinigt, nachdem dieser lange Zeit mit abgelaufenem Norton lief. Avira hat 41 Viren/Trojaner gefunden und diese vernichtet. Leider habe ich aus dieser Zeit kein Logfile mehr. Seither habe ich meinen Rechner mit verschiedenen Online- und Spyware-Scannern bearbeitet, viele Sachen gelöscht, mir einen neuen Kaspersky zugelegt und möchte nun mit Highjackthis die letzten unnötigen und evtl. gefährlichen Sachen fixen. Nun wüsste ich gern, welche Einträge ich unbesorgt noch entfernen kann. Laut HJT-Logfileauswertung gibt es da einige Sachen, die nicht bekannt sind, wie z.B. dieser Eintrag hier:
O4 - HKCU\..\Run: [RTHDCPL] REM RTHDCPL.EXE

Außerdem habe ich mit Autostart-Manager geregelt, dass nur Kaspersky und mein Modem mitstarten. Jedoch diese hier: O4 - HKCU\..\Run: [ctfmon.exe] REM C:\WINDOWS\system32\ctfmon.exe trägt sich regelmäßig selbständig als neuer Autostarteintrag wieder ein. Das beunruhigt mich etwas.

Und die svchost.exe ist gleich 3 x da. Normal?

Hier ist mein HJT-Logfile:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:41, on 06.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKCU\..\Run: [ATIPTA] REM "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [ctfmon.exe] REM C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C93FD3-FEE9-46C4-A1DE-ADAAEA925764}: NameServer = 212.23.97.2 212.23.97.3
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Unknown owner - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4105 bytes
         

Vielen Dank für Eure Hilfe


Gruß,Sivo

Alt 06.11.2008, 19:31   #2
blow-in
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Hi Sivo
wegen der CTFMON.EXE guckst du hier
Tante Gurgel ist dein Freund.
__________________


Alt 06.11.2008, 19:49   #3
Sivo
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Super,

die ctfmon ist schonmal weg.

Was ist mit den anderen Sachen, die doppelt sind und den unknown-owner Sachen und der RTHDCPL.EXE?

Habe alles schonmal gegoogelt, werd aber nicht schlau daraus.


Danke schonmal

Gruß, Sivo
__________________

Alt 06.11.2008, 20:28   #4
blow-in
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Also in deinem HJT-Log kann ich keine Schädlinge mehr feststellen. Das einige Dateien wie die svchost.exe mehrmals aufgeführt werden ist auch normal.
Hast du denn noch Probleme mit dem Rechner?
Könntest auch noch ein neues HijackThis Log reinstellen.
Wann hast du eigentlich den letzten vollständigen Scan mit Kaspersky gemacht?
Solltest ihn mal mit den richtigen Einstellungen machen.

Alt 06.11.2008, 21:35   #5
Sivo
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Hi,

danke erstmal

lasse kaspersky jetzt nochmal scannen, mit den Einstellungen. Habe eigentlich keine Probleme weiter, bis auf dass sich immer die Netzwerkeinstellungen verstellen, nach neustart. Ich klicke auf typisch - empfohlen und es verstellt sich immer wieder. Ist doch komisch





vielleicht liegt das an meinem Modem? Das weiß ich halt nicht so genau.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:32:55, on 06.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sandboxie\SandboxieRpcSs.exe
C:\Programme\Sandboxie\SandboxieDcomLaunch.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [RTHDCPL] REM RTHDCPL.EXE
O4 - HKCU\..\Run: [ATIPTA] REM "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C93FD3-FEE9-46C4-A1DE-ADAAEA925764}: NameServer = 212.23.97.2 212.23.97.3
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Unknown owner - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4374 bytes
         

Kaspersky findet immer nur einen Haufen von Spybot-kennwortgeschützte Dateien.

Gruß, Sivo


Geändert von Sivo (06.11.2008 um 22:08 Uhr)

Alt 07.11.2008, 08:58   #6
blow-in
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Hi Sivo
Das mit den veränderten Einstellung deiner Netzwerkeinstellungen liegt, denke ich mal an deiner USB-Karte. Diese braucht halt diese Zugangsart.
Zitat:
Was ist mit den anderen Sachen, die doppelt sind und den unknown-owner Sachen und der RTHDCPL.EXE?
Ist ein Treiber für den Realtek HD Audio Sound Effect Manager. Ich denke mal den hast du drauf.
Hast du denn Spybot gelöscht? Ich konnte diesbezüglich keinen Eintrag in deinem HJT-Log finden.

Alt 07.11.2008, 09:01   #7
Sivo
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Morgen,

der Teatimer ist deaktiviert, scanne mit Spybot nur hin und wieder. Soll ich den mal runterschmeissen? Sind dann auch die kennwortgeschützten Dateien weg? Ich will die gern mal mit Kaspersky scannen lassen.

Gruß, Sivo

Alt 07.11.2008, 09:27   #8
blow-in
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Nun mit Spybot kenne ich mich nicht so aus und der TeaTimer ist sowiso das Letzte. Der verhindert keine Infektion aber behindert die Reinigung. Ich denke aber, der hat auch einen Quarantäne, die beim Löschen von Spybot weg ist.
Dann ist aber eine Prüfung mit dem Kasperle nicht mehr möglich.

Alt 08.11.2008, 20:38   #9
Sivo
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Hi,

danke erstmal für Deine Hilfe blow-in,

habe mir heute mal eScan runtergeladen und der hat das hier gefunden



Code:
ATTFilter
08 Nov 2008 19:15:52 - Scanning File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.de\SharingMetadata\infected.dat [**]


08 Nov 2008 19:15:56 - Scanning File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@msn.com\SharingMetadata\infected.dat [**]


08 Nov 2008 19:15:58 - Scanning File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.de\SharingMetadata\infected.dat [**]

08 Nov 2008 19:16:54 - File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\402VRGOI\mwav[1].exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.

08 Nov 2008 19:22:59 - File C:\Sandbox\***\DefaultBox\user\current\Desktop\kis8.0.0.454de.exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.


08 Nov 2008 19:19:14 - Scanning File C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\Skin\sounds\Infected.wav [**XX**]


08 Nov 2008 19:19:14 - Scanning File C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\Skin\sounds\infected_p.wav [**XX**]


08 Nov 2008 19:17:16 - Scanning File C:\MAGIX\Digital_Foto_Maker_2005_SE\Icons\Tagged Image File Format.ico [**XX**]
         

wie kann ich das beseitigen?


Und noch eine andere Sache - wie kann es sein, daß der HJT-Eintrag von meinem Modem nirgendwo sonst auftaucht? D. h. wenn ich nach genau diesem Eintrag googele, find ich immer nur mein eigenes thema. Ist ganz normales Base-e-plus-Internet-Modem Huawei E169. Vielleicht ist mein Modem gehackt? Kann sowas sein?

Code:
ATTFilter
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
         
Auch unter HJT-Logfileauswertung ist dieser Eintrag unbekannt.


Es funktioniert eigentlich wunderbar. Hab keine Probleme damit.


Vielen Dank für deine Hilfe,


Gruß, Sivo

Alt 09.11.2008, 09:33   #10
blow-in
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Zitat:
Zitat von Sivo Beitrag anzeigen
wie kann ich das beseitigen?
Gar nicht, sonst zerschießt du dir dein System. Das was da der eScan gefunden hat sind Fehlalarme. Da sich dieser gerne Wichtig macht, empfehle ich diesen nur selten.
Das er die infected.wav anzeigt, liegt eigentlich nur am Namen.
Ich finde es ja ganz stark, dass er seine eigene Datei, die mwav.exe als Schädling erkennt, sagt ja alles.
Zu deinem Modem. Du hast ein UMTS Modem und gehst damit per Handy oder Ähnlichen ins Netz?
Was da die automatische Log-Auswertung zeigt, bedeutet nur, das sie es nicht kennen. Nicht das es Malware ist. Aber wenn du sicher gehen willst, dann Lade diese Dateien bei Virustotal hoch.
Wenn du noch etwas Gutes für deinen PC machen willst, dann wende mal den CCleaner an nach Anleitung an.

Alt 09.11.2008, 09:56   #11
Sivo
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Danke blow-in,

Bin jetzt beruhigt

Dein Tip mit dem CC-Cleaner: Sieht mein Log vermüllt aus? Denn CC-Cleaner ist eh schon mein bester Freund.

Gruß,Sivo

Alt 09.11.2008, 10:10   #12
blow-in
 
Rem rthdcpl.exe - Standard

Rem rthdcpl.exe



Hi
In deinem Log kann ich nichts erkennen.
Wenn du den CCleaner regelmäßig anwendest ist es ja gut. Gibt es denn sonst noch Probleme?
Ich würde ja sonst sagen, dich kann man als geheilt entlassen.

Antwort

Themen zu Rem rthdcpl.exe
ad-aware, adobe, avira, bho, dateien, entfernen, explorer, gereinigt, highjackthis, hijack, hijackthis, hotkey, internet, internet explorer, internet security, kaspersky, logfile, microsoft, programme, rojaner gefunden, rthdcpl.exe, schutz, security, software, solution, starten., svchost.exe, system, usb, windows, windows xp, windows xp sp3, xp sp3





Zum Thema Rem rthdcpl.exe - Hallo Leute, ich nutze XP SP3 und Kaspersky Internet Security 2009. Ich hatte vor einigen Wochen meinen Rechner mit Avira gereinigt, nachdem dieser lange Zeit mit abgelaufenem Norton lief. Avira - Rem rthdcpl.exe...
Archiv
Du betrachtest: Rem rthdcpl.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.