|
Log-Analyse und Auswertung: jusched.exe FehlermeldungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.03.2009, 15:02 | #1 |
| jusched.exe Fehlermeldung Hallo Zusammen, vorher hatte bei mir Antivir einen Trojaner gemeldet und ich habe ihn über antivir gelöscht. Mein Internet wurde langsamer und dann ist mein Rechner hängen geblieben. Hab dann den Rechner ausgeschalten und neu gestartet und dann kam folgende Fehlermeldung. jusched.exe Die Anwendung oder DLL C:/Windows/system32/digeste.dll ist keine gültige Windows Datei. Überprüfen Sie dies mit der Installationsdiskette. Vielleicht erkennt ja jemand was anhnad meines Logfiles. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:53:49, on 14.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\avmwlanstick\FRITZWLANMini.exe C:\Programme\FreePDF_XP\fpassist.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Java\jre6\bin\jqs.exe D:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006MC.EXE C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Security Task Manager\TaskMan.exe C:\Programme\Gemeinsame Dateien\Logitech\WebColct\WebColct.exe d:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Games\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Games\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - e:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {7A4C4242-0D42-42AF-904B-D08D5B5E893A} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {7A4C4242-0D42-42AF-904B-D08D5B5E893A} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: xfire_lsp_9996.dll O10 - Unknown file in Winsock LSP: xfire_lsp_9996.dll O10 - Unknown file in Winsock LSP: xfire_lsp_9996.dll O10 - Unknown file in Winsock LSP: xfire_lsp_9996.dll O15 - Trusted Zone: www.maxdome.1und1.de O15 - Trusted Zone: www.maxxdome.de O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 7518 bytes |
14.03.2009, 16:46 | #2 |
| jusched.exe Fehlermeldung Hab mal die digeste.dll über Virustotal scannen lassen und folgendes Ergebnis
__________________Datei digeste.dll empfangen 2009.03.14 16:42:31 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 12/39 (30.77%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 12. Geschätzte Startzeit ist zwischen 108 und 154 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.14 - AhnLab-V3 5.0.0.2 2009.03.13 - AntiVir 7.9.0.114 2009.03.13 - Authentium 5.1.0.4 2009.03.14 - Avast 4.8.1335.0 2009.03.13 - AVG 8.0.0.237 2009.03.14 - BitDefender 7.2 2009.03.14 - CAT-QuickHeal 10.00 2009.03.14 (Suspicious) - DNAScan ClamAV 0.94.1 2009.03.14 - Comodo 1056 2009.03.14 - DrWeb 4.44.0.09170 2009.03.14 - eSafe 7.0.17.0 2009.03.12 - eTrust-Vet 31.6.6388 2009.03.09 - F-Prot 4.4.4.56 2009.03.13 - F-Secure 8.0.14470.0 2009.03.14 Trojan.Win32.Agent2.fdh Fortinet 3.117.0.0 2009.03.14 W32/Spam_Mailbot_h.B!tr GData 19 2009.03.14 - Ikarus T3.1.1.45.0 2009.03.14 - K7AntiVirus 7.10.671 2009.03.14 - Kaspersky 7.0.0.125 2009.03.14 Trojan.Win32.Agent2.fdh McAfee 5552 2009.03.13 Spam-Mailbot.h.gen.b McAfee+Artemis 5552 2009.03.13 Spam-Mailbot.h.gen.b McAfee-GW-Edition 6.7.6 2009.03.13 - Microsoft 1.4405 2009.03.14 TrojanDownloader:Win32/Bredolab.B NOD32 3935 2009.03.13 a variant of Win32/Waledac.HL Norman 6.00.06 2009.03.13 - nProtect 2009.1.8.0 2009.03.14 - Panda 10.0.0.10 2009.03.14 Trj/CI.A PCTools 4.4.2.0 2009.03.14 - Prevx1 V2 2009.03.14 High Risk Cloaked Malware Rising 21.20.52.00 2009.03.14 - Sophos 4.39.0 2009.03.14 - Sunbelt 3.2.1858.2 2009.03.13 VIPRE.Suspicious Symantec 1.4.4.12 2009.03.14 W32.Waledac TheHacker 6.3.3.0.281 2009.03.13 - TrendMicro 8.700.0.1004 2009.03.13 - VBA32 3.12.10.1 2009.03.14 - ViRobot 2009.3.13.1648 2009.03.13 - VirusBuster 4.6.5.0 2009.03.14 - weitere Informationen File size: 28672 bytes MD5...: 309e9b717446446c36428f736b6c15b4 SHA1..: 71b8626b9d14bf830a494192afba35f0c2d46c07 SHA256: 46ddb90e29d9b179cbbf882606fa7bd5070f3b6e1cb42ab9aabf593520a375fa SHA512: 3afbed13ce6b4a65b65361a33f95007be48740081ffaeec458210821e1f7fe41 8a3ae1a1aae18281f39bde7a9c2501f428a25db422b8f0dcbd20a8f2b38b8360 ssdeep: 384tnwa8ozZSYQccd6Pi8YWMyCaIKRuoj9UYkChQrqjgVjy2dLxwpGMME43V/: epzscXYfGRnjiYDCvy2BxEtsh PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10ef timedatestamp.....: 0x375aca17 (Sun Jun 06 19:20:55 1999) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5c9d 0x4c00 7.87 5422b3a5a51e812aa31d76117c3472af .data 0x7000 0x2a9f 0x2c00 5.58 b4e61102ebc882869f8d63431855ebff .rsrc 0xa000 0x303 0x400 2.93 a11938b736aaec91ad8c2f2b1cbfc2d8 ( 3 imports ) > USER32.dll: UnhookWinEvent, ResolveDesktopForWOW, PostThreadMessageW, ValidateRgn, CharUpperBuffA, InternalGetWindowText > msvcrt.dll: labs, __setlc_active, _mbbtombc, _strnicmp, __mb_cur_max > KERNEL32.dll: CreateFileMappingW, DeleteAtom, GetBinaryTypeA, ProcessIdToSessionId, GetCommandLineA, VirtualProtect, FindResourceExW, VerLanguageNameA, ExitThread ( 0 exports ) CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=309e9b717446446c36428f736b6c15b4' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=309e9b717446446c36428f736b6c15b4</a> Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=B49DE23D0062B3AA702E005D744B7000DA3E3F1A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=B49DE23D0062B3AA702E005D744B7000DA3E3F1A</a> |
14.03.2009, 16:59 | #3 |
/// Helfer-Team | jusched.exe Fehlermeldung John übernimm du. Ich geh sowieso.
__________________
__________________ |
14.03.2009, 17:02 | #4 |
| jusched.exe Fehlermeldung Hallo und mich wundert die Bezeichnung von Prevx, hier nennen die den anders: http://www.prevx.com/filenames/X1656...ESTE2EDLL.html GMER - Rootkit Detection
ciao, andreas Geändert von john.doe (14.03.2009 um 17:08 Uhr) |
14.03.2009, 17:19 | #5 |
| jusched.exe Fehlermeldung Hi habe gerade mal Antivir durchlaufen lassen und folgendes Ergebnis Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\AhnLab\ASP\Smart Update i\update\autoup.exe [FUND] Ist das Trojanische Pferd TR/Agent.277064.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2fd520.qua' verschoben! Ob das mit der jusched.exe zu tun hat weiß ich nicht. Ich werde dan noch tralala.exe installieren und schauen was da rauskommt. Danke schon mal für die schnelle hilfe |
14.03.2009, 17:21 | #6 |
| jusched.exe Fehlermeldung In welchem Ordner hast du digeste.dll gefunden? ciao, andreas
__________________ --> jusched.exe Fehlermeldung |
14.03.2009, 17:27 | #7 |
| jusched.exe Fehlermeldung hier das Ergebnis von tralala GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-03-14 17:26:01 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT BA6C220C ZwCreateThread SSDT BA6C21F8 ZwOpenProcess SSDT BA6C21FD ZwOpenThread SSDT BA6C2207 ZwTerminateProcess SSDT BA6C2202 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- ? Mup.sy Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Mup \Dfs Device \FileSystem\Mup \Dfs Device \FileSystem\Mup \Device\Mup Device \FileSystem\Mup \Device\Mup Device \FileSystem\Mup \Device\WinDfs\Root Device \FileSystem\Mup \Device\WinDfs\Root ---- Threads - GMER 1.0.14 ---- Thread 4:108 8AF65800 Thread 4:112 8AF155E0 Thread 4:116 8AF15098 Thread 4:120 8AF62A40 ---- Files - GMER 1.0.14 ---- File C:\WINDOWS\system32\drivers\llg4269.sys 22784 bytes <-- ROOTKIT !!! ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\System32\drivers\llg4269.sys [BOOT] eee202f <-- ROOTKIT !!! ---- EOF - GMER 1.0.14 ---- |
14.03.2009, 17:28 | #8 |
| jusched.exe Fehlermeldung im system32 Ordner |
14.03.2009, 17:39 | #9 |
| jusched.exe Fehlermeldung 1.) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter Drivers to delete: llg4269 llg4269.sys C:\WINDOWS\system32\drivers\llg4269.sys Files to delete: C:\WINDOWS\system32\drivers\llg4269.sys C:\WINDOWS\system32\digeste.dll
2.) Poste ein neues Gmer-Log. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
14.03.2009, 18:02 | #10 |
| jusched.exe Fehlermeldung komisch war beim Neustart, das zweimal das Benutzer konte geladen wurde. avenger report: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "faaa253" found! Could not open driver faaa253 for rootkit scan. Error:c0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Rootkit scan completed. Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\llg4269" not found! Deletion of driver "llg4269" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\llg4269.sys" not found! Deletion of driver "llg4269.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\C:\WINDOWS\system32\drivers\llg4269.sys" not found! Deletion of driver "C:\WINDOWS\system32\drivers\llg4269.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\drivers\llg4269.sys" deleted successfully. File "C:\WINDOWS\system32\digeste.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. Gmer Log GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-03-14 18:01:11 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT BA69C2B4 ZwCreateThread SSDT BA69C2A0 ZwOpenProcess SSDT BA69C2A5 ZwOpenThread SSDT BA69C2AF ZwTerminateProcess SSDT BA69C2AA ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- ? zeodc.sys Das System kann die angegebene Datei nicht finden. ! ? sfdrv0 Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.14 ---- Device \Driver\sfdrv01 \Device\sfdrv01 Device \Driver\sfdrv01 \Device\sfdrv01i ---- Threads - GMER 1.0.14 ---- Thread 4:112 8AF01800 Thread 4:116 8AF17870 Thread 4:120 8AF17328 Thread 4:124 8AEFEA40 ---- EOF - GMER 1.0.14 ---- |
14.03.2009, 18:07 | #11 |
| jusched.exe Fehlermeldung Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
14.03.2009, 18:37 | #12 |
| jusched.exe Fehlermeldung So habe alles erledigt und Combo fix hatte mich freundlicher weise noch darauf hingewiesen, das meine Wiederherstellungskonsole nicht installiert ist und habe es dann erst installiert. so nun zu dem Ergebnis: ComboFix 09-03-13.02 - Cervantes 2009-03-14 18:27:22.1 - NTFSx86 ausgeführt von:: c:\dokumente und einstellungen\Cervantes\Desktop\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-02-14 bis 2009-03-14 )))))))))))))))))))))))))))))) . 2009-03-14 17:25 . 2009-03-14 17:25 22,784 --a------ c:\windows\system32\drivers\aaa08d2.sys 2009-03-14 13:29 . 2009-03-14 13:29 22,784 --a------ c:\windows\system32\drivers\kdq2876.sys 2009-03-08 18:19 . 2009-02-18 14:44 453,152 --a------ c:\windows\system32\nvudisp.exe 2009-03-08 18:19 . 2009-03-14 18:30 212,881 --a------ c:\windows\system32\nvapps.xml 2009-03-08 18:19 . 2009-02-18 14:44 19,021 --a------ c:\windows\system32\nvdisp.nvu 2009-03-08 18:18 . 2009-03-08 18:18 <DIR> d-------- C:\NVIDIA 2009-03-08 18:18 . 2009-02-16 23:17 453,152 --a------ c:\windows\system32\NVUNINST.EXE 2009-03-08 18:03 . 2009-03-12 18:36 189,072 --a------ c:\windows\system32\PnkBstrB.xtr 2009-03-02 19:23 . 2009-03-02 19:23 0 --a------ c:\windows\mngui.INI 2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys 2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys 2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a------ c:\windows\system32\hidserv.dll 2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a--c--- c:\windows\system32\dllcache\hidserv.dll 2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys 2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys 2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\programme\HP 2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HPSSUPPLY 2009-02-15 09:43 . 2009-02-15 09:43 <DIR> d-------- c:\windows\system32\URTTEMP 2009-02-15 09:41 . 2009-02-15 09:43 <DIR> d--h----- c:\programme\Avago-HP 2009-02-15 09:41 . 2008-04-28 06:14 284,160 --a------ c:\windows\system32\HP1006LM.DLL 2009-02-15 09:41 . 2008-02-20 23:44 65,536 --a------ c:\windows\system32\HPPLVS.dll 2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys 2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-14 13:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan 2009-03-13 05:45 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\OpenOffice.org2 2009-03-12 17:20 138,920 ----a-w c:\windows\system32\drivers\PnkBstrK.sys 2009-02-18 13:44 6,308,224 ----a-w c:\windows\system32\drivers\nv4_mini.sys 2009-02-08 10:43 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\AdobeUM 2009-02-05 04:59 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2007-11-10 08:39 22,328 ----a-w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\PnkBstrK.sys 2007-09-27 18:14 14 ----a-w c:\dokumente und einstellungen\Cervantes\getfile.dat 2008-08-28 17:58 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082820080829\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744] "AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320] "avgnt"="d:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-01-20 c:\windows\KHALMNPR.Exe] "RTHDCPL"="RTHDCPL.EXE" [2008-02-13 c:\windows\RTHDCPL.exe] "nwiz"="nwiz.exe" [2009-02-18 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2006-11-15 532480] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.XFR1"= xfcodec.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NeroFilterCheck"=c:\windows\system32\NeroCheck.exe "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source\\hl2.exe"= "e:\\Programme\\Xfire\\ua_lsp_inst.exe"= "e:\\Programme\\Xfire\\Xfire.exe"= "d:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"= "e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source beta\\hl2.exe"= "d:\\Programme\\Winamp\\winamp.exe"= "e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\half-life 2 deathmatch\\hl2.exe"= "d:\\Programme\\Firefox\\firefox.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\NetMeeting\\conf.exe"= "d:\\Programme\\StreamRipper32\\StreamRipper32.exe"= "e:\\Valve\\Steam\\Steam.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "e:\\Demos\\fear_mpdemo_en\\FEARMPDemo.exe"= "e:\\New Folder\\Bin32\\Crysis.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\WINDOWS\\system32\\java.exe"= "c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"= "e:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:*isabled:@xpsp2res.dll,-22009 "19020:TCP"= 19020:TCP:BitComet 19020 TCP "19020:UDP"= 19020:UDP:BitComet 19020 UDP "41444:TCP"= 41444:TCP:Azureus "41444:UDP"= 41444:UDP:Azureus R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-06-08 264704] S2 FILESpy;FILESpy;\??\c:\programme\Softwin\BitDefender8\filespy.sys --> c:\programme\Softwin\BitDefender8\filespy.sys [?] S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [2006-10-13 16384] S3 kdq2876;kdq2876;c:\windows\system32\drivers\kdq2876.sys [2009-03-14 22784] S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - BBB6D5C *Deregistered* - bbb6d5c HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-01-23 c:\windows\Tasks\1-Klick-Wartung.job - d:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 12:17] . . ------- Zusätzlicher Suchlauf ------- . uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyOverride = fritz.box;192.168.178.1 IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - e:\programme\PokerStars.NET\PokerStarsUpdate.exe LSP: xfire_lsp_9996.dll Trusted Zone: 1und1.de\www.maxdome Trusted Zone: ahnlab.com\global Trusted Zone: maxxdome.de\www FF - ProfilePath - . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-14 18:30:43 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\cttda9e] "ImagePath"="\SystemRoot\System32\drivers\aaa08d2.sys" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(712) c:\windows\system32\xfire_lsp_9996.dll . ------------------------ Weitere laufende Prozesse ------------------------ . d:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe d:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\PnkBstrB.exe c:\windows\system32\spool\drivers\w32x86\3\HP1006MC.EXE c:\windows\system32\rundll32.exe c:\programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe c:\programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-03-14 18:32:08 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-03-14 17:32:05 Vor Suchlauf: 10 Verzeichnis(se), 20.755.087.360 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 20,773,638,144 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 175 --- E O F --- 2009-03-11 08:44:14 Vielen Dank für diese professionelle Unterstützung :aplaus: |
14.03.2009, 18:52 | #13 |
| jusched.exe Fehlermeldung achso hatte ich vergessen, mein W-lan stick ist nicht mehr angeschlossen. |
14.03.2009, 18:57 | #14 | |
| jusched.exe Fehlermeldung Bitte, gerne, es ist aber noch lange nicht ausgestanden. Traust du dir zu mit regedit zu arbeiten? Wer damit Software läd, ist selber schuld. Also deinstalliere das bitte. Zitat:
Code:
ATTFilter KILLALL:: Driver:: kdq2876 Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\cttda9e] File:: c:\windows\system32\drivers\aaa08d2.sys c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ Adobe Reader Speed Launch.lnk c:\windows\system32\drivers\kdq2876.sys
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
14.03.2009, 19:18 | #15 |
| jusched.exe Fehlermeldung ich probiers aus. die 2 programme habe ich schon lange nicht mehr und habe nun demenstprechend die ports in der firewall geschlossen. |
Themen zu jusched.exe Fehlermeldung |
adobe, antivir, avira, bho, dateien, dll, explorer, fehlermeldung, firefox, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, jusched.exe, microsoft, mozilla, neu, nvidia, plug-in, programme, rundll, security, software, stick, trojaner, tuneup.defrag, windows xp |