|
Log-Analyse und Auswertung: Rem rthdcpl.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.11.2008, 18:53 | #1 |
| Rem rthdcpl.exe Hallo Leute, ich nutze XP SP3 und Kaspersky Internet Security 2009. Ich hatte vor einigen Wochen meinen Rechner mit Avira gereinigt, nachdem dieser lange Zeit mit abgelaufenem Norton lief. Avira hat 41 Viren/Trojaner gefunden und diese vernichtet. Leider habe ich aus dieser Zeit kein Logfile mehr. Seither habe ich meinen Rechner mit verschiedenen Online- und Spyware-Scannern bearbeitet, viele Sachen gelöscht, mir einen neuen Kaspersky zugelegt und möchte nun mit Highjackthis die letzten unnötigen und evtl. gefährlichen Sachen fixen. Nun wüsste ich gern, welche Einträge ich unbesorgt noch entfernen kann. Laut HJT-Logfileauswertung gibt es da einige Sachen, die nicht bekannt sind, wie z.B. dieser Eintrag hier: O4 - HKCU\..\Run: [RTHDCPL] REM RTHDCPL.EXE Außerdem habe ich mit Autostart-Manager geregelt, dass nur Kaspersky und mein Modem mitstarten. Jedoch diese hier: O4 - HKCU\..\Run: [ctfmon.exe] REM C:\WINDOWS\system32\ctfmon.exe trägt sich regelmäßig selbständig als neuer Autostarteintrag wieder ein. Das beunruhigt mich etwas. Und die svchost.exe ist gleich 3 x da. Normal? Hier ist mein HJT-Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:46:41, on 06.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Sandboxie\SbieSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKCU\..\Run: [ATIPTA] REM "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKCU\..\Run: [ctfmon.exe] REM C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe" O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{54C93FD3-FEE9-46C4-A1DE-ADAAEA925764}: NameServer = 212.23.97.2 212.23.97.3 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Apple Mobile Device - Unknown owner - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 4105 bytes Vielen Dank für Eure Hilfe Gruß,Sivo |
06.11.2008, 19:49 | #3 |
| Rem rthdcpl.exe Super,
__________________die ctfmon ist schonmal weg. Was ist mit den anderen Sachen, die doppelt sind und den unknown-owner Sachen und der RTHDCPL.EXE? Habe alles schonmal gegoogelt, werd aber nicht schlau daraus. Danke schonmal Gruß, Sivo |
06.11.2008, 20:28 | #4 |
| Rem rthdcpl.exe Also in deinem HJT-Log kann ich keine Schädlinge mehr feststellen. Das einige Dateien wie die svchost.exe mehrmals aufgeführt werden ist auch normal. Hast du denn noch Probleme mit dem Rechner? Könntest auch noch ein neues HijackThis Log reinstellen. Wann hast du eigentlich den letzten vollständigen Scan mit Kaspersky gemacht? Solltest ihn mal mit den richtigen Einstellungen machen. |
06.11.2008, 21:35 | #5 |
| Rem rthdcpl.exe Hi, danke erstmal lasse kaspersky jetzt nochmal scannen, mit den Einstellungen. Habe eigentlich keine Probleme weiter, bis auf dass sich immer die Netzwerkeinstellungen verstellen, nach neustart. Ich klicke auf typisch - empfohlen und es verstellt sich immer wieder. Ist doch komisch vielleicht liegt das an meinem Modem? Das weiß ich halt nicht so genau. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:32:55, on 06.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Sandboxie\SbieSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe C:\Programme\Sandboxie\SbieCtrl.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Sandboxie\SandboxieRpcSs.exe C:\Programme\Sandboxie\SandboxieDcomLaunch.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKCU\..\Run: [RTHDCPL] REM RTHDCPL.EXE O4 - HKCU\..\Run: [ATIPTA] REM "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe" O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{54C93FD3-FEE9-46C4-A1DE-ADAAEA925764}: NameServer = 212.23.97.2 212.23.97.3 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Apple Mobile Device - Unknown owner - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 4374 bytes Kaspersky findet immer nur einen Haufen von Spybot-kennwortgeschützte Dateien. Gruß, Sivo Geändert von Sivo (06.11.2008 um 22:08 Uhr) |
07.11.2008, 08:58 | #6 | |
| Rem rthdcpl.exe Hi Sivo Das mit den veränderten Einstellung deiner Netzwerkeinstellungen liegt, denke ich mal an deiner USB-Karte. Diese braucht halt diese Zugangsart. Zitat:
Hast du denn Spybot gelöscht? Ich konnte diesbezüglich keinen Eintrag in deinem HJT-Log finden. |
07.11.2008, 09:01 | #7 |
| Rem rthdcpl.exe Morgen, der Teatimer ist deaktiviert, scanne mit Spybot nur hin und wieder. Soll ich den mal runterschmeissen? Sind dann auch die kennwortgeschützten Dateien weg? Ich will die gern mal mit Kaspersky scannen lassen. Gruß, Sivo |
07.11.2008, 09:27 | #8 |
| Rem rthdcpl.exe Nun mit Spybot kenne ich mich nicht so aus und der TeaTimer ist sowiso das Letzte. Der verhindert keine Infektion aber behindert die Reinigung. Ich denke aber, der hat auch einen Quarantäne, die beim Löschen von Spybot weg ist. Dann ist aber eine Prüfung mit dem Kasperle nicht mehr möglich. |
08.11.2008, 20:38 | #9 |
| Rem rthdcpl.exe Hi, danke erstmal für Deine Hilfe blow-in, habe mir heute mal eScan runtergeladen und der hat das hier gefunden Code:
ATTFilter 08 Nov 2008 19:15:52 - Scanning File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.de\SharingMetadata\infected.dat [**] 08 Nov 2008 19:15:56 - Scanning File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@msn.com\SharingMetadata\infected.dat [**] 08 Nov 2008 19:15:58 - Scanning File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.de\SharingMetadata\infected.dat [**] 08 Nov 2008 19:16:54 - File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\402VRGOI\mwav[1].exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken. 08 Nov 2008 19:22:59 - File C:\Sandbox\***\DefaultBox\user\current\Desktop\kis8.0.0.454de.exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken. 08 Nov 2008 19:19:14 - Scanning File C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\Skin\sounds\Infected.wav [**XX**] 08 Nov 2008 19:19:14 - Scanning File C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\Skin\sounds\infected_p.wav [**XX**] 08 Nov 2008 19:17:16 - Scanning File C:\MAGIX\Digital_Foto_Maker_2005_SE\Icons\Tagged Image File Format.ico [**XX**] wie kann ich das beseitigen? Und noch eine andere Sache - wie kann es sein, daß der HJT-Eintrag von meinem Modem nirgendwo sonst auftaucht? D. h. wenn ich nach genau diesem Eintrag googele, find ich immer nur mein eigenes thema. Ist ganz normales Base-e-plus-Internet-Modem Huawei E169. Vielleicht ist mein Modem gehackt? Kann sowas sein? Code:
ATTFilter O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe" Es funktioniert eigentlich wunderbar. Hab keine Probleme damit. Vielen Dank für deine Hilfe, Gruß, Sivo |
09.11.2008, 09:33 | #10 |
| Rem rthdcpl.exe Gar nicht, sonst zerschießt du dir dein System. Das was da der eScan gefunden hat sind Fehlalarme. Da sich dieser gerne Wichtig macht, empfehle ich diesen nur selten. Das er die infected.wav anzeigt, liegt eigentlich nur am Namen. Ich finde es ja ganz stark, dass er seine eigene Datei, die mwav.exe als Schädling erkennt, sagt ja alles. Zu deinem Modem. Du hast ein UMTS Modem und gehst damit per Handy oder Ähnlichen ins Netz? Was da die automatische Log-Auswertung zeigt, bedeutet nur, das sie es nicht kennen. Nicht das es Malware ist. Aber wenn du sicher gehen willst, dann Lade diese Dateien bei Virustotal hoch. Wenn du noch etwas Gutes für deinen PC machen willst, dann wende mal den CCleaner an nach Anleitung an. |
09.11.2008, 09:56 | #11 |
| Rem rthdcpl.exe Danke blow-in, Bin jetzt beruhigt Dein Tip mit dem CC-Cleaner: Sieht mein Log vermüllt aus? Denn CC-Cleaner ist eh schon mein bester Freund. Gruß,Sivo |
Themen zu Rem rthdcpl.exe |
ad-aware, adobe, avira, bho, dateien, entfernen, explorer, gereinigt, highjackthis, hijack, hijackthis, hotkey, internet, internet explorer, internet security, kaspersky, logfile, microsoft, programme, rojaner gefunden, rthdcpl.exe, schutz, security, software, solution, starten., svchost.exe, system, usb, windows, windows xp, windows xp sp3, xp sp3 |