FireFox Lags & dazu hohe CPU Auslastung

TomWax · 19.03.2009, 15:41

So,

nun habe ich zuerst einmal das tool prevxcsi unter http://www.prevx.com/filenames/X2769...E1ECT.COM.html
laufen lassen das hat mir die folgende Meldung gebracht Status Clean. Danach habe
ich nochmals Combofix runter geladen und direckt auf den Desktop abgespeichert &
danch nochmals durch laufen lassen, anbei das Log File.

ComboFix 09-03-18.01 - Mike 2009-03-19 15:24:31.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1013.596 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mike\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-19 bis 2009-03-19 ))))))))))))))))))))))))))))))
.

2009-03-19 15:20 . 2009-03-19 15:20 <DIR> d-------- c:\programme\Prevx
2009-03-19 15:20 . 2009-03-19 15:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-03-19 15:20 . 2009-03-19 15:20 22,536 --a------ c:\windows\system32\drivers\pxscan.sys
2009-03-16 19:12 . 2009-03-16 19:12 <DIR> d-------- c:\dokumente und einstellungen\Mike\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-16 19:12 . 2009-03-16 19:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-16 19:11 . 2009-03-16 19:11 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-15 23:33 . 2009-03-19 15:20 200 --a------ c:\windows\wininit.ini
2009-03-12 22:15 . 2009-03-12 22:29 <DIR> d-------- C:\!KillBox
2009-03-12 21:48 . 2007-03-23 03:07 2,478 --a------ C:\filelist.bat
2009-03-12 20:50 . 2009-03-12 20:50 0 --a------ C:\23990098.$$$
2009-03-12 18:03 . 2009-03-12 18:03 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-03-12 18:02 . 2008-08-07 10:25 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-03-12 18:02 . 2008-08-07 11:33 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator\UserData
2009-03-12 18:02 . 2008-08-07 11:13 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-03-12 18:02 . 2008-08-07 11:13 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-03-12 18:02 . 2009-03-19 15:25 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-03-12 18:02 . 2008-08-26 11:35 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-03-12 18:02 . 2008-08-26 11:46 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-03-12 18:02 . 2008-08-07 11:13 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-03-12 18:02 . 2008-08-08 08:47 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Windows Search
2009-03-12 18:02 . 2008-08-15 08:01 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\InstallShield
2009-03-12 18:02 . 2008-08-18 08:04 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BullGuard
2009-03-12 18:02 . 2009-03-12 18:03 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-03-12 18:02 . 2009-03-12 18:02 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-03-12 17:57 . 2009-03-12 18:08 54 --a------ c:\windows\Lic.xxx
2009-03-12 17:56 . 2009-03-12 17:56 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-12 17:56 . 2009-03-12 17:56 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2009-03-12 17:56 . 2009-03-12 17:56 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-12 17:56 . 2009-03-12 17:56 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-12 17:56 . 2008-04-14 13:00 153,600 --a------ c:\windows\R.COM
2009-03-12 17:56 . 2008-04-14 13:00 140,800 --a------ c:\windows\system32\T.COM
2009-03-12 17:56 . 2009-03-12 17:56 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-12 17:56 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-12 16:56 . 2009-03-17 13:46 <DIR> d-------- C:\rsit
2009-03-12 06:47 . 2009-03-12 06:49 <DIR> d-------- C:\Film
2009-03-12 00:53 . 2009-03-12 00:53 <DIR> d-------- c:\dokumente und einstellungen\Mike\Anwendungsdaten\Malwarebytes
2009-03-12 00:53 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-12 00:52 . 2009-03-12 00:52 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-12 00:52 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-10 23:32 . 2009-03-10 23:32 <DIR> d-------- c:\dokumente und einstellungen\Mike\Anwendungsdaten\CyberLink
2009-03-08 22:01 . 2009-03-08 22:26 <DIR> d-------- C:\Olga
2009-03-08 07:54 . 2009-03-08 07:54 <DIR> d-------- c:\programme\JRE
2009-03-06 10:09 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-03-06 10:00 . 2009-03-06 10:09 <DIR> d-------- c:\windows\system32\XPSViewer
2009-03-06 10:00 . 2009-03-06 10:00 <DIR> d-------- c:\programme\Reference Assemblies
2009-03-06 10:00 . 2009-03-06 10:00 <DIR> d-------- c:\programme\MSBuild
2009-03-06 10:00 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll
2009-03-06 10:00 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll
2009-03-06 10:00 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-03-06 10:00 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll
2009-03-06 10:00 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll
2009-03-06 10:00 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll
2009-03-06 10:00 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-03-06 09:59 . 2009-03-06 10:00 <DIR> d-------- C:\32fccd990634440b69b6a6
2009-02-21 18:07 . 2009-02-21 18:07 2,059,093 --a------ C:\totalcmd.rar
2009-02-21 18:06 . 2009-02-21 18:06 <DIR> d-------- C:\totalcmd
2009-02-21 13:06 . 2009-03-12 06:55 <DIR> d-------- C:\Firma
2009-02-20 18:47 . 2009-03-10 18:00 <DIR> d-------- c:\dokumente und einstellungen\Mike\Anwendungsdaten\Hamachi
2009-02-20 18:46 . 2009-02-20 18:46 25,280 --a------ c:\windows\system32\drivers\hamachi.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-19 05:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-13 09:41 1,623,304 ----a-w c:\windows\CISUnins.exe
2009-03-13 09:41 1,623,304 ----a-w c:\windows\CICUnins.exe
2009-03-12 17:52 --------- d-----w c:\dokumente und einstellungen\Mike\Anwendungsdaten\dvdcss
2009-03-08 06:54 --------- d-----w c:\programme\OpenOffice.org 3
2009-03-06 08:22 --------- d-----w c:\programme\Microsoft Silverlight
2009-03-04 00:17 15,688 ----a-w c:\windows\system32\lsdelete.exe
2009-03-04 00:16 64,160 ----a-w c:\windows\system32\drivers\Lbd.sys
2009-02-07 20:30 --------- d-----w c:\programme\AskBarDis
2009-02-06 19:31 --------- d-----w c:\dokumente und einstellungen\Mike\Anwendungsdaten\Foxit
2009-02-04 10:28 --------- dc-h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-02-04 10:28 --------- d-----w c:\programme\Lavasoft
2009-02-04 10:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-01-25 17:09 --------- d-----w c:\dokumente und einstellungen\Mike\Anwendungsdaten\teamspeak2
2009-01-19 16:42 --------- d-----w c:\dokumente und einstellungen\Mike\Anwendungsdaten\Corel
2008-12-24 11:05 1,036,288 ----a-w c:\windows\system32\VSFilter.dll
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r c:\windows\system32\nbDX.dll
2008-08-26 11:14 16,384 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-12_17.09.45,31 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-16 18:12:22 18,944 ----a-r c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe
+ 2009-03-16 18:12:22 65,024 ----a-r c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe
- 2009-03-11 06:26:56 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-03-18 12:17:15 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-03-11 06:26:56 32,768 ----a-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2009-03-18 12:17:15 32,768 ----a-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2009-03-11 06:26:56 32,768 ----a-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-03-18 12:17:15 32,768 ----a-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\tools\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="c:\tools\SuperAntiSpyware\SUPERAntiSpyware.exe" [2009-02-17 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"avgnt"="c:\tools\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-03-04 515416]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\tools\SuperAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\tools\SuperAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= c:\windows\system32\l3codecp.acm
"msacm.divxa32"= divxa32.acm
"msacm.l3codec"= c:\windows\system32\l3codecp.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Tools\\Tobit ClipInc\\Server\\ClipInc-Server.exe"=
"c:\\Tools\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-04 64160]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [2009-03-19 22536]
R1 SASDIFSV;SASDIFSV;c:\tools\SuperAntiSpyware\sasdifsv.sys [2009-02-17 8944]
R1 SASKUTIL;SASKUTIL;c:\tools\SuperAntiSpyware\SASKUTIL.SYS [2009-02-17 55024]
R2 ClipInc001;ClipInc 001;c:\tools\Tobit ClipInc\Server\ClipInc-Server.exe 001 --> c:\tools\Tobit ClipInc\Server\ClipInc-Server.exe 001 [?]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [2009-03-19 4150840]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr.sys [2008-08-26 43816]
R2 fsssvc;Windows Live OneCare Family Safety;c:\programme\Windows Live\Family Safety\fsssvc.exe [2007-12-17 523816]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [2008-08-07 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [2008-08-07 572416]
R3 SASENUM;SASENUM;c:\tools\SuperAntiSpyware\SASENUM.SYS [2009-02-17 7408]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 951632]
S4 Micro Star SCM;Micro Star SCM;c:\programme\System Control Manager\MSIService.exe --> c:\programme\System Control Manager\MSIService.exe [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CSISCANNER
*NewlyCreated* - PXSCAN

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dcd35689-d9cd-11dd-ba6c-0022431446c0}]
\Shell\AutoRun\command - ntde1ect.com
\Shell\explore\Command - ntde1ect.com
\Shell\open\Command - ntde1ect.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}]
\Shell\AutoRun\command - E:\LaunchU3.exe
.
Inhalt des "geplante Tasks" Ordners

2009-03-18 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-04 01:15]

2008-08-13 c:\windows\Tasks\Critical Battery Alarm Program.job
- c:\windows\system32\shutdown.exe [2008-04-14 13:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
FF - ProfilePath - c:\dokumente und einstellungen\Mike\Anwendungsdaten\Mozilla\Firefox\Profiles\oqzzs74b.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
FF - plugin: c:\programme\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\VistaCodecPack\rm\browser\plugins\nprpjplug.dll
FF - plugin: c:\tools\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: c:\tools\DivX\DivX Web Player\npdivx32.dll
FF - plugin: c:\tools\FireFox\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\tools\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-19 15:25:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(820)
c:\tools\SuperAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-03-19 15:28:07
ComboFix-quarantined-files.txt 2009-03-19 14:28:04
ComboFix2.txt 2009-03-19 13:59:20
ComboFix3.txt 2009-03-12 16:11:26

Vor Suchlauf: 26 Verzeichnis(se), 30.884.151.296 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 30,881,255,424 Bytes frei

201 --- E O F --- 2009-03-08 06:58:57

Nun habe ich hier bei leider keinen Plan was das denn alles bedeutet.

Chris4You · 19.03.2009, 16:00

Hi,

siehe vorangegangen Post von mir....

chris

TomWax · 19.03.2009, 16:28

Nochmals Danke Chris,
habe angefangen hier die loggs

Datei R.COM empfangen 2009.03.19 15:46:01 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)

File size: 153600 bytes
MD5...: ad9226bf3ced13636083bb9c76e9d2a2
SHA1..: 5192bd0e6cbbb4074172463804f8ffb0fab916e4
SHA256: 832faa57842c1bc8343ce0934f66d85fa2852ffcb16011902a67ecf9d0cd8241
SHA512: 63d140f04ade495036de8168621832bb8c4ea7b17cf46df4fcbb756bcfc51290
7cdfcb9b872032a14e960ef6be98d6b8a73cb54a44ab5fcedb6f6a637dc8418e
ssdeep: 3072:xtkaZgxktEdSja2qLckP+4AnrIKvOBI+huG0TG0usp+d/Ad/AhZsJJE0kMJ
5VvlW:xtkqxrqLckP+xn0YOBI+AG0TG0tdm
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1691e
timedatestamp.....: 0x48025214 (Sun Apr 13 18:33:56 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17902 0x17a00 6.37 c955a3871382133757b77b2ef8713803
.data 0x19000 0x40da0 0x400 1.20 def7edb164ce2210badeb06959cdaa48
.rsrc 0x5a000 0xd510 0xd600 3.70 e285afbe730d03d7363a5527697d112a

( 14 imports )
> msvcrt.dll: __p__commode, _adjust_fdiv, __p__fmode, _initterm, __getmainargs, _acmdln, __set_app_type, _except_handler3, __setusermatherr, _controlfp, exit, _XcptFilter, _exit, _c_exit, swprintf, iswprint, wcsncpy, wcslen, wcscat, wcscpy, _purecall, iswctype, wcscmp, wcschr, wcsncmp, wcsrchr, _cexit, memmove
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, InitializeSecurityDescriptor, RegDeleteValueW, InitializeAcl, SetSecurityDescriptorDacl, SetSecurityDescriptorSacl, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetInheritanceSourceW, LookupAccountSidW, GetSidSubAuthorityCount, GetSidSubAuthority, GetSecurityDescriptorControl, GetSecurityDescriptorOwner, GetSecurityDescriptorGroup, GetSecurityDescriptorDacl, GetSecurityDescriptorSacl, SetSecurityInfo, SetNamedSecurityInfoW, GetNamedSecurityInfoW, MapGenericMask, RegSetValueExA, RegSetValueW, RegFlushKey, RegSaveKeyW, RegRestoreKeyW, RegConnectRegistryW, RegQueryValueExW, RegCloseKey, RegOpenKeyW, RegSetValueExW, RegCreateKeyW, RegEnumValueW, RegEnumKeyW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken, RegUnLoadKeyW, RegLoadKeyW, RegOpenKeyExW, RegQueryInfoKeyW, RegDeleteKeyW
> KERNEL32.dll: ReadFile, DeleteFileW, WriteFile, WideCharToMultiByte, CreateFileW, OutputDebugStringW, GetLastError, SetFilePointer, GetFileSize, SearchPathW, GetTimeFormatW, GetDateFormatW, GetSystemDefaultLCID, FileTimeToSystemTime, FileTimeToLocalFileTime, FreeLibrary, LoadLibraryW, MulDiv, lstrcpynW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, MultiByteToWideChar, lstrcmpW, FormatMessageW, GetThreadLocale, GetModuleHandleW, ExitProcess, GetCommandLineW, GetProcessHeap, lstrcatW, LocalAlloc, GetCurrentProcess, CloseHandle, LocalFree, GetComputerNameW, lstrcmpiW, lstrlenW, lstrcpyW, LocalReAlloc, GlobalAlloc, GlobalLock, GlobalUnlock, GetProcAddress, LoadLibraryA
> GDI32.dll: GetStockObject, SetAbortProc, StartDocW, StartPage, SetViewportOrgEx, EndPage, EndDoc, AbortDoc, DeleteDC, CreateBitmap, CreatePatternBrush, PatBlt, ExcludeClipRect, SelectClipRgn, DeleteObject, SetBkColor, SetTextColor, ExtTextOutW, GetDeviceCaps, CreateFontIndirectW, SelectObject, GetTextMetricsW
> USER32.dll: SendDlgItemMessageW, SetDlgItemTextW, SetWindowLongW, DefWindowProcW, ReleaseDC, GetDC, SetScrollInfo, wsprintfW, DestroyCaret, ReleaseCapture, KillTimer, SetCaretPos, ScrollWindowEx, ShowCaret, HideCaret, InvalidateRect, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, GetClipboardData, WinHelpW, EndDialog, GetWindowLongW, EndPaint, BeginPaint, CreateCaret, SetTimer, SetCapture, SetFocus, CharLowerW, GetDlgItem, DestroyMenu, TrackPopupMenuEx, IsClipboardFormatAvailable, EnableMenuItem, GetSubMenu, LoadMenuW, GetKeyState, RegisterClassW, LoadCursorW, RegisterClipboardFormatW, CheckRadioButton, SendMessageW, GetWindowTextW, GetParent, GetDlgItemTextW, IsDlgButtonChecked, GetDlgCtrlID, CallWindowProcW, GetWindowTextLengthW, GetDlgItemInt, PostQuitMessage, GetWindowPlacement, SetWindowTextW, EnableWindow, GetWindowRect, DrawMenuBar, InsertMenuItemW, DeleteMenu, SetMenuItemInfoW, GetMenu, GetMenuItemInfoW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, IsIconic, DestroyIcon, LoadImageW, GetSysColor, SetCursor, ShowCursor, ShowWindow, SetWindowPlacement, CreateWindowExW, GetProcessDefaultLayout, GetMessageW, ScreenToClient, SetCursorPos, DispatchMessageW, ClientToScreen, GetDesktopWindow, LoadIconW, PostMessageW, SetMenuDefaultItem, InsertMenuW, GetMenuItemID, CheckMenuItem, UpdateWindow, RegisterClassExW, CharNextW, GetClientRect, DestroyWindow, CreateDialogParamW, CheckDlgButton, DrawAnimatedRects, IntersectRect, ModifyMenuW, GetMessagePos, TranslateMessage, TranslateAcceleratorW, LoadAcceleratorsW, SetForegroundWindow, GetLastActivePopup, BringWindowToTop, FindWindowW, LoadStringW, GetWindow, IsDialogMessageW, PeekMessageW, MessageBoxW, CharUpperBuffW, CharUpperW, IsCharAlphaNumericW, GetSystemMetrics, MoveWindow, MapWindowPoints, DialogBoxParamW, SetWindowPos, MessageBeep
> COMCTL32.dll: -, -, -, -, InitCommonControlsEx, -, -, ImageList_SetBkColor, ImageList_Create, ImageList_Destroy, -, -, ImageList_ReplaceIcon, -, -, -, -, CreateStatusWindowW
> comdlg32.dll: GetOpenFileNameW, GetSaveFileNameW, PrintDlgExW
> SHELL32.dll: ShellAboutW, DragQueryFileW, DragFinish
> AUTHZ.dll: AuthzInitializeContextFromSid, AuthzAccessCheck, AuthzFreeContext, AuthzFreeResourceManager, AuthzInitializeResourceManager
> ACLUI.dll: -
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx, ReleaseStgMedium
> ulib.dll: _Resize@DSTRING@@UAEEK@Z, _Initialize@ARRAY@@QAEEKK@Z, _NewBuf@DSTRING@@UAEEK@Z, __1DSTRING@@UAE@XZ, __1OBJECT@@UAE@XZ, __0OBJECT@@IAE@XZ, _Compare@OBJECT@@UBEJPBV1@@Z, __0DSTRING@@QAE@XZ, _Initialize@WSTRING@@QAEEPBV1@KK@Z, _Strcat@WSTRING@@QAEEPBV1@@Z, __0ARRAY@@QAE@XZ, _Initialize@WSTRING@@QAEEPBGK@Z
> clb.dll: ClbAddData, ClbSetColumnWidths
> ntdll.dll: RtlFreeHeap, RtlAllocateHeap

danach

Datei T.COM empfangen 2009.03.19 15:59:27 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)

File size: 140800 bytes
MD5...: b198cb3b0689b10fdc4c8ccf8c3c3289
SHA1..: bc4b968b213bc87ce3ae38f73ebc828975f9df8a
SHA256: c3825263a7d5a7a1114233cee7b6c129689e81cba8fffdce964d061418165308
SHA512: 9977dc85c7f2ff3748e24b193e47ae04e8c698ff339931206012b43a32433bf5
b8e319a00e44440520c98fff86bf2be2787504b95b72076f881349fa40bbe942
ssdeep: 3072:Ubkh3VK2abS5VHwO8KdKiZuNuEJ+4PmtvCWv8v9PfmJvp5T39RKifwe8Q+T
aZ2IF:USVQO8uZUE4y/
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5944
timedatestamp.....: 0x48025274 (Sun Apr 13 18:35:32 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13f1a 0x14000 6.44 6023fb54332a750c6bd1e4e4b44ab0c5
.data 0x15000 0x170c 0x600 2.79 44a98784179a334c27cbc27b57643de2
.rsrc 0x17000 0xdbb8 0xdc00 3.81 05820a56bdfb477b87c3b8db51b46f77

( 11 imports )
> ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW, RegSetValueExW, RegCreateKeyExW, IsValidSid, AdjustTokenPrivileges, OpenThreadToken, OpenProcessToken, RegOpenKeyExA, RegQueryValueExA, LookupPrivilegeValueW
> KERNEL32.dll: GetProcessAffinityMask, OpenProcess, MultiByteToWideChar, GetThreadTimes, TerminateProcess, GetPriorityClass, lstrcmpW, SetEvent, CreateEventW, GetComputerNameW, Sleep, FreeLibrary, SetProcessAffinityMask, LoadLibraryA, QueryPerformanceCounter, GetSystemTimeAsFileTime, GetCurrentDirectoryW, SetUnhandledExceptionFilter, lstrcmpiW, GetTickCount, HeapSize, GetProcAddress, GetNumberFormatW, HeapReAlloc, lstrlenW, GetCurrentProcess, SetPriorityClass, GetCommandLineW, GetStartupInfoW, GetModuleHandleW, ExitProcess, CreateMutexW, GetCurrentProcessId, ProcessIdToSessionId, ReleaseMutex, SetProcessShutdownParameters, WaitForSingleObject, ExpandEnvironmentStringsW, CreateProcessW, GetCurrentThreadId, FormatMessageW, lstrcatW, GetVersionExW, GetLocaleInfoW, LocalAlloc, LocalFree, HeapFree, HeapAlloc, GetProcessHeap, CreateThread, CloseHandle, lstrcpynW, lstrcpyW, GetLastError, LoadLibraryW, InterlockedCompareExchange, GetVersionExA, IsBadWritePtr, SetLastError, GetCurrentThread, DelayLoadFailureHook, UnhandledExceptionFilter
> GDI32.dll: CreateFontIndirectW, GetCharWidth32W, CreateCompatibleBitmap, Rectangle, SetBkMode, SetTextColor, CreateCompatibleDC, DeleteDC, GetCurrentObject, GetObjectW, BitBlt, SelectObject, MoveToEx, LineTo, CreatePen, GetStockObject, CreateRectRgn, DeleteObject, CreateSolidBrush, CombineRgn, SetRectRgn, GetDeviceCaps, FillRgn
> USER32.dll: DestroyIcon, LoadImageW, BeginDeferWindowPos, GetMenuItemCount, EnableMenuItem, GetSystemMetrics, SetMenuItemInfoW, LoadMenuW, DestroyMenu, ExitWindowsEx, LockWorkStation, GetAsyncKeyState, SetForegroundWindow, OpenIcon, LoadAcceleratorsW, MessageBoxW, CheckDlgButton, EndDialog, GetWindowTextW, IsDlgButtonChecked, GetSubMenu, InvalidateRect, GetSysColor, MonitorFromRect, SetTimer, LoadIconW, GetThreadDesktop, GetDialogBaseUnits, KillTimer, GetDesktopWindow, DestroyWindow, MessageBeep, MoveWindow, PostQuitMessage, IsZoomed, DispatchMessageW, TranslateMessage, IsDialogMessageW, TranslateAcceleratorW, GetMessageW, CreateDialogParamW, SendMessageTimeoutW, AllowSetForegroundWindow, GetWindowThreadProcessId, FindWindowW, RegisterWindowMessageW, FillRect, DrawTextW, UpdateWindow, GetDlgCtrlID, SetFocus, CreateWindowExW, DialogBoxParamW, GetShellWindow, SetScrollPos, GetScrollInfo, IsWindow, EnableWindow, GetFocus, CharLowerBuffW, TrackPopupMenuEx, GetGuiResources, EnumWindowStationsW, GetClassLongW, IsHungAppWindow, InternalGetWindowText, IsWindowVisible, GetWindow, SetMenuDefaultItem, EnumWindows, CloseDesktop, SetThreadDesktop, OpenDesktopW, EnumDesktopsW, CloseWindowStation, SetProcessWindowStation, GetProcessWindowStation, OpenWindowStationW, CascadeWindows, TileWindows, SwitchToThisWindow, GetLastActivePopup, EndTask, PostMessageW, ShowWindowAsync, GetCursorPos, SetDlgItemTextW, GetParent, GetWindowTextLengthW, SetRect, SetCursor, LoadCursorW, GetWindowRect, DeferWindowPos, EndDeferWindowPos, GetMenuItemInfoW, IsIconic, BeginPaint, EndPaint, DrawEdge, GetForegroundWindow, GetKeyState, PostThreadMessageW, wsprintfW, GetClientRect, SetScrollInfo, ShowWindow, SetWindowPos, SetMenu, GetDlgItem, MapWindowPoints, SendMessageW, GetMenu, CheckMenuRadioItem, CheckMenuItem, DeleteMenu, LoadStringW, SetWindowTextW, GetClassInfoW, RegisterClassW, GetDC, ReleaseDC, SystemParametersInfoW, GetWindowLongW, SetWindowLongW, CallWindowProcW, DefWindowProcW, RemoveMenu, GetWindowLongA
> ntdll.dll: _chkstk, _snwprintf, RtlUnwind, _wcsicmp, NtQueryVirtualMemory, NtOpenThread, NtClose, strrchr, RtlLargeIntegerToChar, RtlAnsiStringToUnicodeString, _ui64tow, mbstowcs, memmove, NtQuerySystemInformation, wcstol, NtShutdownSystem, NtInitiatePowerAction, NtPowerInformation, RtlTimeToElapsedTimeFields
> iphlpapi.dll: GetInterfaceInfo, GetNumberOfInterfaces, NhGetInterfaceNameFromDeviceGuid, GetIfEntry
> COMCTL32.dll: -, ImageList_Remove, ImageList_ReplaceIcon, ImageList_SetIconSize, ImageList_Create, CreateStatusWindowW
> SHLWAPI.dll: StrStrIW, -, StrFormatByteSizeW, -, wnsprintfW
> SHELL32.dll: Shell_NotifyIconW, -, ShellAboutW, -, -, -, -
> Secur32.dll: GetUserNameExW
> VDMDBG.dll: VDMEnumTaskWOWEx, VDMTerminateTaskWOW

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=b198cb3b0689b10fdc4c8ccf8c3c3289' target='_blank'>http://www.threatexpert.com/report.aspx?md5=b198cb3b0689b10fdc4c8ccf8c3c3289</a>

danach

Datei eEmpty.exe empfangen 2009.03.19 16:03:07 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)

File size: 28672 bytes
MD5...: 531c58770c9c4c5c8715dc141abd4ddd
SHA1..: 592520b5c123fb1a558d3aed687c12be1a19d973
SHA256: 8c61e30b251d4756a3081ef1b70f96c90ebe5713a9966dc20721af9c4165d1e9
SHA512: aa14c3c3a62e6f9df79b2e8dc4711fede8352dab092156ae8ffbde33803b413d
90ae3d05dd2164cf111d98f1f7d4c5dc6e1e3e63956cbdd8dc39143afd069aa0
ssdeep: 384:Wg0MvVx9fzmlXUBWEYHyyBYrh6oZqWtR:LfXKTHyY+h6on
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1010
timedatestamp.....: 0x48ef47c1 (Fri Oct 10 12:17:05 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x288e 0x3000 5.91 198f4e38f8e14d9c5d88044d22617c84
.rdata 0x4000 0x736 0x1000 3.01 30beb8b339ff491f47a323f852d5e3c0
.data 0x5000 0x9bc 0x1000 0.87 5dd0366f742b8f20fd3b8ef03763cab4
.rsrc 0x6000 0x6a8 0x1000 2.23 1b4e4145b58e683ef4eac921fcc561f4

( 1 imports )
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

danach

Datei IconCDDCBBF13.exe empfangen 2009.03.19 16:06:35 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)

File size: 18944 bytes
MD5...: 5a0cd869c004ffcc7fafe43f1c60090a
SHA1..: c47e6e3ff9d3fbe7aa45f6a4f49328d2514b0772
SHA256: cc2a8301c5376dc7cf7ecbec6ae240c8152f737f4db6cb0639da922530a202c4
SHA512: 187da637f0f46c3e188c7a391f19b9059c2b809a3befa09e356aa815903e8181
418518a116ac4587f4f1009fa52ddf0b58e76ef00e1616efa0195951e3c84dca
ssdeep: 192:92qNBZSfbbeTLaTZuXFOsQn1WIQFGTKzYZ6dv:92qPRC+OD4xzoK
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ 4.x (95.6%)
Win16/32 Executable Delphi generic (1.4%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
VXD Driver (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x33fdb6ae (Fri Aug 22 15:56:30 1997)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5 0x200 0.08 5e3004258b537e9a4d9e5dc688181906
.rdata 0x2000 0x35 0x200 0.47 1a9eeeda4bd420676a74ba7e077a88fb
.rsrc 0x3000 0x3f4c 0x4000 4.79 65e5d4fd054ad223be7d971450a4a98e
.reloc 0x7000 0xc 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )

( 0 exports )

danach

Datei spmsg2.dll empfangen 2009.03.19 16:10:09 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)

File size: 14048 bytes
MD5...: 37044da1f53a8a6e5c54fca4c974511a
SHA1..: c67e85389503bea34fa7c4c29486bc349b3f39b7
SHA256: b86fe1370e2f55000b5227f2c7a41a76a841a72d1e2a40143b4044b7d5a39088
SHA512: 8e6fee5f6620613a0f05547e90a9261bbb38f352afa9c6fc7dcc664b834d86a0
48a67cc6b1f5341ba1642fcdc92c640b2cd897184cc47a1a4efa96ab8010d7e9
ssdeep: 192:JrW0GLJoplWEQdvzuL/CldolMGo3OuqoMOdLCqm3p:JrW0h7WEQdvzuLCcMe
/oTCZ5
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x0
timedatestamp.....: 0x42c17f50 (Tue Jun 28 16:48:16 2005)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.rsrc 0x1000 0x1678 0x1800 3.40 6b19bcdd5d5083557e2de5ea770b202f
.reloc 0x3000 0x8 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )

( 0 exports )

habe danach nach ntde1ect.com gesucht aber weder im Windows noch im system32
Ordner etwas gefunden.
Den ClipInc Ordner habe ich von Hand gelöscht.
Danch mit regedit die 4 Schlüssel gelöscht.
Mit dem GMER bin ich noch am machen, melde mich gleich nochmal

have a nice day

Chris4You · 19.03.2009, 16:56

Hi,

sind also sauber...
Schau mal in das Verzeichnis C:\23990098.$$$, lösche es ...

Also bis jetzt ist nichts zu finden, ausser GMER wirft noch einen Rootkit raus...

chris (auf dem Wege nach hause)

TomWax · 19.03.2009, 20:20

Nabend

so der GMER ist auch durch nur kann ich kein Log File abspeichern. Mit STRG+C lässt sich
leider nichts kopieren. Habe deshalb einen Screenshot gemacht finde aber keinen Weg
wie ich diese Info an dieses Post anhängen kann. Kann mir da einer weiter helfen?

have a nice day

Chris4You · 20.03.2009, 07:35

Hi,

hochladen auf: http://www.file-upload.net/
und dann hier den Link posten...
Schau mal ganz unten auf der Seite die ich für GMER angegeben habe, da
steht wie Du kopieren kannst, but, anyway....

chris

TomWax · 20.03.2009, 14:12

Hallo Chris,

habe schon gesehen wie man das Log File speichern kann nur war bei mir nichts in
der Zwischenablage, deshalb der Screeshot. Lade den GMER eben nochmals runter und
werde ihn gleich danach durchlaufen lassen.
Anbei der Screenshot File-Upload.net - GMER-Log.rtf

danke für deine Hilfe

FireFox Lags & dazu hohe CPU Auslastung

Plagegeister aller Art und deren Bekämpfung: FireFox Lags & dazu hohe CPU Auslastung