Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Fragwürdige Netzwerkaktivitäten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.03.2009, 07:38   #1
Sspack
 
Fragwürdige Netzwerkaktivitäten - Standard

Fragwürdige Netzwerkaktivitäten



Guten Tag Trojaner-Board Community

Ich würde euch gerne um eine Analyse meines Systems bitten.
Es gibt eigentlich keine Probleme mit meinem PC (langsames Internet oder sonstiges), trotzdem möchte ich gerne eine Vorsorgeuntersuchung machen.
Der Grund hierfür ist mein ziemlich ausgepägter Kontrollzwang.

In meiner Wunschvorstellung sollte mein PC nur dann mit dem Internet kommunizieren, wenn ich ihn zum Beispiel dazu auffordere eine Internetseite zu öffen.
Dies ist leider in keinster Weise der Fall.
Ich habe mir (nachdem ich im Netz im Zusammenhang mit der Anwendung von rootkits in neuen PC-Spielen als Kopierschutz, einiges über hijacking durchgelesen habe und diverse Systemscans gemacht habe) einen Netzwerk Manager zugelegt.
Dieser zeigt bei mir immer wieder Verbindungen von meinem PC zu anscheinend willkürlichen IP Addressen auf der ganzen Welt an.

Code:
ATTFilter
94.213.105.3
69.255.36.199
68.199.59.169
59.146.61.145
         
Wenn ich diese Ips dann auflöse, sehen diese für mich nach Privat-Ips aus
(Ich weiss nicht ob man das hier posten darf, wenn nicht bitte darauf hinweisen oder editieren)

Code:
ATTFilter
IP address: 94.213.105.3
Hostname: 5ED56903.cable.ziggo.nl
ISP: Cable customers Area 6
Country: Netherlands
         
Diese Zugriffe, von denen dann auf einen Schlag ca. 30 in einer Minute kommen, habe ich fast täglich und ohne ersichtlichen Grund.

Der Microsoft Network Monitor gibt als Trafficbezeichnung "unknown" an.

Sind euch solche Aktivitäten irgendwie bekannt?

Meine Internetverbindung geht über das Speedport700v, zu einem Router, zu mir. Provider ist die Telekom (DSL 16000)

Hier meine Logfiles aus den Systemscans:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1893
Windows 6.0.6001 Service Pack 1

25.03.2009 05:43:49
mbam-log-2009-03-25 (05-43-49).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|I:\|J:\|L:\|T:\|)
Durchsuchte Objekte: 313442
Laufzeit: 1 hour(s), 30 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Hier hat wurde anscheinend ein Trojaner gefunden, ob der was mit meinem Problem zu tun hat ist die andere Frage, denn die Netzwerkaktivitäten bestehen weiterhin. (Norton hat diesen übrigens nicht gefunden)
Außerdem sollte, so habe ich jedenfalls gelesen, das Programm Securom, obwohl es ja nicht schädlich ist, als rootkit angezeit werden. Dieses Befindet sich schonmal sicher auf meinem System, da ich ein EA Spiel installiert habe, wo dieses enthalten war.


Und Hijackthis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:49:59, on 25.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Razer\Copperhead\razerhid.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Symantec\Norton AntiBot\agent\Bin\NortonAntiBot.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\EXPERTool ATI\TBPANEL.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Knl\knl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Razer\Copperhead\razertra.exe
C:\Program Files\Razer\Copperhead\razerofa.exe
C:\Program Files\Symantec\Norton AntiBot\agent\Bin\NABMonitor.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\conime.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Microsoft Network Monitor 3\netmon.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [Copperhead] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton 360\osCheck.exe"
O4 - HKLM\..\Run: [NortonAntiBot] "C:\Program Files\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Gainward] C:\Program Files\EXPERTool ATI\TBPanel.exe /A
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: knl.lnk = C:\Program Files\Knl\knl.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h*ps://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: SymantecAntiBotAgent - Symantec - C:\Program Files\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
O23 - Service: SymantecAntiBotWatcher - Symantec - C:\Program Files\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe

--
End of file - 10612 bytes
         
Ich wollte auch einen Check mit GMER machen.
Das Problem, das ich mit diesem Programm habe ist, dass es bei diesem eigentlich einen "Safe Mode" Button geben sollte, dieser aber bei mir nicht vorhanden ist.


Infolgedessen habe ich mich über intensives "safebutton missing"-googeln schon einmal informiert, und bin auf einen Forenbeitrag gestoßen, indem ein User davon berichtete, dass er erst nach Entfernung eines Schädlings wieder einen "safe button" im Programm GMER auffinden konnte.
Leider habe ich den Link zu dem Post nichtmehr, da ich diesen vor einem halben Jahr gelesen habe.
Es kann aber eigentlich nur mit einer Veränderung des Programms GMER selber zusammenhängen (oder der von dem Programm erstellten gmer.sys Datei, die sich übrigens nicht, wie eigentlich vorgesehen in system32 auffinden lässt)

Eigentlich hatte ich schon länger vor hier zu posten, da ich wie gesagt vor einem halben Jahr schonmal alles durchgecheckt hatte (nachdem nach einer Neuaufsetztung des Systems und exzessiver Anwendung von anderen Schädlingsbekämpfungs-BootCDs ect. der GMER-Button immer noch nicht auffindbar war und ich es dann mit einem "ach lass endlich gut sein"-"ist warscheinlich ein Gmer+Vista Bug" hinschmiss), aber diese Sache lässt mir keine Ruhe, solang ich nicht von einem Profi bestätigt bekomme, dass alles clean ist.

Alt 31.03.2009, 11:55   #2
Sspack
 
Fragwürdige Netzwerkaktivitäten - Standard

Fragwürdige Netzwerkaktivitäten



Gerade eben hat, nachdem ich nach langer Zeit wieder ein Windows Update gemacht habe das "Windows-Tool zum Entfernen bösartiger Software", einen Fund von "Trojan.W32.Alureon!inf" gemeldet.
Dieser wurde vom Programm sogleich entfernt.
Anscheinend handelt es sich hierbei wieder um einen DNS-Changer.

Ausserdem wollte ich zu meinem ersten Post noch anmerken, dass diese Verbindungen, von denen ich gesprochen habe nur eingehend sind. der Network-Manager zeigt als Source diese willkürlichen IPs und als Destination meinen PC, Andersherum (so wie es zum beispiel beim surfen der Fall ist) kommt keine Verbindung zu stande.

Auch wenn keiner eine Antwort auf mein Problem hat.
Könnt ihr mir vielleicht bestätigen, dass dieses Button-Problem im GMER nicht normal ist, oder ist das bei einem von euch schon einmal vorgekommen oder kennt ihr so einen Fall?
__________________


Alt 31.03.2009, 12:31   #3
Redwulf
 
Fragwürdige Netzwerkaktivitäten - Standard

Fragwürdige Netzwerkaktivitäten



Mach bitte nochmal einen GMER Scan. Benenne dieses Tool vorher in Hups.exe um. Mach deinen Suchlauf und beantworte alle Fragen mit Nein. Gehe auf den Reiter rootkit und poste das Ergebnis....

Danach nochmal einen neuen Hijack this
__________________
__________________

Alt 31.03.2009, 15:28   #4
Sspack
 
Fragwürdige Netzwerkaktivitäten - Standard

Fragwürdige Netzwerkaktivitäten



Hallo Redwulf,
Danke für deine Antwort.
Wie du mir aufgetragen hast, hab ich hier die logfiles für dich

Gmer (ohne safemode):
Code:
ATTFilter
GMER 1.0.15.14966 - h**p://www.gmer.net
Rootkit scan 2009-03-31 15:57:04
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.15 ----

SSDT            874D1BB8		ZwAlertResumeThread
SSDT            874D1C98		ZwAlertThread
SSDT            874D0EE0		ZwAllocateVirtualMemory
SSDT            8739E350		ZwAlpcConnectPort
SSDT            874D1908		ZwCreateMutant
SSDT            874D53D8		ZwCreateThread
SSDT            874D2DB0		ZwDebugActiveProcess
SSDT            874D0D00		ZwFreeVirtualMemory
SSDT            874D19F8		ZwImpersonateAnonymousToken
SSDT            874D1AD8		ZwImpersonateThread
SSDT            874D0C00		ZwMapViewOfSection
SSDT            874D1828		ZwOpenEvent
SSDT            874D0FD0		ZwOpenProcessToken
SSDT            874D2E90		ZwOpenSection
SSDT            874D0940		ZwOpenThreadToken
SSDT            873B8428		ZwResumeThread
SSDT            874D0860		ZwSetContextThread
SSDT            874D0A30		ZwSetInformationProcess
SSDT            874D1F80		ZwSetInformationThread
SSDT            874D2F70		ZwSuspendProcess
SSDT            874D1DE0		ZwSuspendThread
SSDT            874D54D8		ZwTerminateProcess
SSDT            874D1EC0		ZwTerminateThread
SSDT            874D0B20		ZwUnmapViewOfSection
SSDT            874D0DF0		ZwWriteVirtualMemory

INT 0x51        ?			8544CBF8
INT 0x62        ?			86483BF8
INT 0x72        ?			86483BF8
INT 0x82        ?			8544BBF8
INT 0x92        ?			8544BBF8
INT 0xA2        ?			8544CBF8

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetTimerEx + 350			822EC914 8 Bytes  [B8, 1B, 4D, 87, 98, 1C, 4D, ...]
.text           ntkrnlpa.exe!KeSetTimerEx + 364			822EC928 4 Bytes  [E0, 0E, 4D, 87]
.text           ntkrnlpa.exe!KeSetTimerEx + 370			822EC934 4 Bytes  [50, E3, 39, 87]
.text           ntkrnlpa.exe!KeSetTimerEx + 428			822EC9EC 4 Bytes  [08, 19, 4D, 87]
.text           ntkrnlpa.exe!KeSetTimerEx + 454			822ECA18 4 Bytes  [D8, 53, 4D, 87]
.text           ...                                                                                                                                                 
?               System32\Drivers\spjw.sys				Das System kann den angegebenen Pfad nicht finden. !
.text           USBPORT.SYS!DllUnload				8E12646F 5 Bytes  JMP 864831D8 
.text           anu20wob.SYS				8E50D000 22 Bytes  [26, 82, 20, 82, 10, 81, 20, ...]
.text           anu20wob.SYS				8E50D017 130 Bytes  [00, 32, 67, 79, 80, 3D, 65, ...]
.text           anu20wob.SYS				8E50D09A 14 Bytes  [28, 82, 9C, 83, 28, 82, 60, ...]
.text           anu20wob.SYS				8E50D0A9 35 Bytes  [70, 28, 82, A0, 67, 28, 82, ...]
.text           anu20wob.SYS				8E50D0CE 10 Bytes  [00, 00, 00, 00, 00, 00, 6A, ...]
.text           ...                                                                                                                                                 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar]				[8068D6D2] \SystemRoot\System32\Drivers\spjw.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar]				[8068D040] \SystemRoot\System32\Drivers\spjw.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort]				[8068D7FC] \SystemRoot\System32\Drivers\spjw.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort]				[8068D0BE] \SystemRoot\System32\Drivers\spjw.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort]				[8068D13C] \SystemRoot\System32\Drivers\spjw.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]				[8069D048] \SystemRoot\System32\Drivers\spjw.sys
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortNotification]				CC000CC2
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortWritePortUchar]				83EC8B55
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortWritePortUlong]				575320EC
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortGetPhysicalAddress]				458DFF33
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong				8D5750FC
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortGetScatterGatherList]				5750F845
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortReadPortUchar]				8957046A
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortStallExecution]				75E8FC7D
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortGetParentBusType]				BB0001E8
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortRequestCallback]				000000EA
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortWritePortBufferUshort]				850FC33B
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortGetUnCachedExtension]				0000012B
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortCompleteRequest]				0FFC7D39
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortMoveMemory]				00012284
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests]				458D5600
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb]				106A50F4
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb]				38335668
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortReadPortUshort]				FC75FF36
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortReadPortBufferUshort]				D1E85757
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortInitialize]				8B0001E7
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortGetDeviceBase]				1BDEF7F0
IAT             \SystemRoot\System32\Drivers\anu20wob.SYS[ataport.SYS!AtaPortDeviceStateChange] 				23D6F7F6

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                                                               [74937BA4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                                                                [749798C5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                                                            [7493D3C8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]                                                      [7492F527] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                                                                [74937599] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                                                             [7492E43D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM]                                                 [7496B33D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream]                                                    [7493D68A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                                                            [7493012E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                                                             [74930095] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                                                              [749271F3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM]                                                      [749BD802] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile]                                                         [749575E1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                                                            [7492DAE1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                                                                      [7492668F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                                                                     [749266BA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1968] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]                                                        [74931E45] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                                              854541F8
Device          \Driver\volmgr \Device\VolMgrControl                                                                                                                8544E1F8
Device          \Driver\usbohci \Device\USBPDO-0                                                                                                                    864F51F8
Device          \Driver\usbehci \Device\USBPDO-1                                                                                                                    864F61F8

AttachedDevice  \Driver\tdx \Device\Tcp                                                                                                                             SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\volmgr \Device\HarddiskVolume1                                                                                                              8544E1F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\volmgr \Device\HarddiskVolume2                                                                                                              8544E1F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\cdrom \Device\CdRom0                                                                                                                        865181F8
Device          \Driver\volmgr \Device\HarddiskVolume3                                                                                                              8544E1F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\cdrom \Device\CdRom1                                                                                                                        865181F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                                                  854501F8
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                                                  854501F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3                                                                                                         854501F8
Device          \Driver\volmgr \Device\HarddiskVolume4                                                                                                              8544E1F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\nvstor32 \Device\00000067                                                                                                                   854521F8
Device          \Driver\netbt \Device\NetBt_Wins_Export                                                                                                             874991F8
Device          \Driver\Smb \Device\NetbiosSmb                                                                                                                      874081F8
Device          \Driver\PCI_PNP6169 \Device\0000005b                                                                                                                spjw.sys
Device          \Driver\nvstor32 \Device\RaidPort0                                                                                                                  854521F8

AttachedDevice  \Driver\tdx \Device\Udp                                                                                                                             SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\nvstor32 \Device\RaidPort1                                                                                                                  854521F8
Device          \Driver\nvstor32 \Device\RaidPort2                                                                                                                  854521F8
Device          \Driver\iScsiPrt \Device\RaidPort3                                                                                                                  8652D1F8
Device          \Driver\usbohci \Device\USBFDO-0                                                                                                                    864F51F8
Device          \Driver\sptd \Device\345288176                                                                                                                      spjw.sys
Device          \Driver\usbehci \Device\USBFDO-1                                                                                                                    864F61F8
Device          \Driver\USBSTOR \Device\0000007b                                                                                                                    874D61F8
Device          \Driver\netbt \Device\NetBT_Tcpip_{9C459856-BE7E-4950-9FBB-559C46417253}                                                                            874991F8
Device          \Driver\netbt \Device\NetBT_Tcpip_{510FE5E3-6D97-45DE-8EF6-FC7C74F80C43}                                                                            874991F8
Device          \Driver\USBSTOR \Device\0000007c                                                                                                                    874D61F8
Device          \Driver\USBSTOR \Device\0000007d                                                                                                                    874D61F8
Device          \Driver\anu20wob \Device\Scsi\anu20wob1Port6Path0Target0Lun0                                                                                        8652E1F8
Device          \Driver\anu20wob \Device\Scsi\anu20wob1                                                                                                             8652E1F8
Device          \FileSystem\cdfs \Cdfs                                                                                                                              889901F8

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                                                  771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                                                  285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                                                  1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                                 C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                              0x28 0x59 0x5D 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                     0xFB 0x66 0xDE 0xBA ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                               0xDB 0x60 0x56 0xD6 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                                        
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                                     C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                                     0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                                  0x28 0x59 0x5D 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                                               
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                         0xFB 0x66 0xDE 0xBA ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                                         
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                                   0xDB 0x60 0x56 0xD6 ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{40072E1E-34F2-14CE-72DC-59853D67C41D}                                     
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{40072E1E-34F2-14CE-72DC-59853D67C41D}@pahfalfajpjjicdjldpegblbogaodfce    0x6B 0x61 0x6A 0x6B ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{40072E1E-34F2-14CE-72DC-59853D67C41D}@abnekpblmjofinpbhfiimhhjnpdmehjmpi  0x6B 0x61 0x6A 0x6B ...

---- Files - GMER 1.0.15 ----

File            C:\Windows\System32\LogFiles\Scm\SCM.EVM                                                                                                            (size mismatch) 524288/0 bytes
File            C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl                                                                                          (size mismatch) 1295840/1213576 bytes
File            C:\Windows\System32\spool\SpoolerETW.etl                                                                                                            (size mismatch) 4096/0 bytes
File            C:\Windows\System32\WDI\LogFiles\WdiContextLog.etl.003                                                                                              (size mismatch) 262144/0 bytes
File            C:\Windows\System32\wfp\wfpdiag.etl                                                                                                                 (size mismatch) 65536/0 bytes

---- EOF - GMER 1.0.15 ----
         

Alt 31.03.2009, 15:30   #5
Sspack
 
Fragwürdige Netzwerkaktivitäten - Standard

Fragwürdige Netzwerkaktivitäten



Und hier Hijackthis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:59:15, on 31.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Razer\Copperhead\razerhid.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Symantec\Norton AntiBot\agent\Bin\NortonAntiBot.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\EXPERTool ATI\TBPANEL.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Knl\knl.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Razer\Copperhead\razertra.exe
C:\Program Files\Razer\Copperhead\razerofa.exe
C:\Program Files\Symantec\Norton AntiBot\agent\Bin\NABMonitor.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\taskmgr.exe
C:\Program Files\Microsoft Network Monitor 3\netmon.exe
C:\Users\*****\Desktop\Hups.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [Copperhead] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton 360\osCheck.exe"
O4 - HKLM\..\Run: [NortonAntiBot] "C:\Program Files\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Gainward] C:\Program Files\EXPERTool ATI\TBPanel.exe /A
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: knl.lnk = C:\Program Files\Knl\knl.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: SymantecAntiBotAgent - Symantec - C:\Program Files\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
O23 - Service: SymantecAntiBotWatcher - Symantec - C:\Program Files\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe

--
End of file - 9214 bytes
         
Das umbenennen der gmer.exe in fdfdggsg.sys hab ich damals schon probiert (Ich glaube darauf läuft das "Hups" hinaus oder?).
Es ändert leider nichts daran, dass der Safemode-Button immernoch nicht auffindbar ist.

Edit:
Bei mir kamen übrigens keine Fragen nach dem Scan mit Gmer, die ich mit nein beantworten hätte können.
Der Scan hört, nachdem alle Dateien durchsucht sind auf, und ich klicke dann auf ">>>" und dann Rootkits/Malware und "Copy".


Geändert von Sspack (31.03.2009 um 15:55 Uhr) Grund: Verbesserung

Alt 31.03.2009, 21:02   #6
Redwulf
 
Fragwürdige Netzwerkaktivitäten - Standard

Fragwürdige Netzwerkaktivitäten



Das Gute zuerst:

Ein rootkit konnte ich nicht entdecken.

Trotzdem machen mich 2 files nervös. Das erste kenne ich und es gilt als unbedenklich, sollten wir jedoch nochmal überprüfen.
das zweite file ist mir vollkommen unbekannt und gehört auch nicht zu einer Vista Installation. Bitte lasse beide Files bei Virustotal.com checken und poste bitte das vollständige Ergebnis mit den Prüfsummen.

Code:
ATTFilter
System32\Drivers\anu20wob.SYS
C:\Program Files\Knl\knl.exe
         
Dein Hijack ist bis auf den knl.exe Eintrag vollkommen unauffällig.

Aber warten wir erst mal die Überprüfung ab...
__________________
--> Fragwürdige Netzwerkaktivitäten

Antwort

Themen zu Fragwürdige Netzwerkaktivitäten
adobe, bho, browser, download, dsl, explorer, firefox, frage, gainward, hijackthis, hängen, immer wieder, internet, internet explorer, intrusion prevention, konvertieren, langsames internet, malwarebytes' anti-malware, monitor, mozilla, netzwerk, nicht gefunden, nicht vorhanden, object, pdf, pdf-datei, plug-in, programm, registrierungsschlüssel, rojaner gefunden, router, rundll, server, software, symantec, trojaner gefunden, trojaner-board, vista, windows sidebar




Ähnliche Themen: Fragwürdige Netzwerkaktivitäten


  1. Fragwürdige Seiten mit angeblichen Gewinnen werden ständig geöffnet
    Alles rund um Windows - 14.05.2015 (9)
  2. Fragwürdige Umfrage
    Diskussionsforum - 13.04.2015 (9)
  3. Startpage liefert fragwürdige Bilder statt gesuchten Textdokumenten
    Plagegeister aller Art und deren Bekämpfung - 23.12.2014 (7)
  4. Auf fragwürdige Webseite gekommen - wie schlimm
    Diskussionsforum - 20.06.2014 (14)
  5. Pc installiert ungefragt zahlreiche äußerst fragwürdige Virenscanner
    Log-Analyse und Auswertung - 15.06.2014 (1)
  6. Fragwürdige Aktionen auf dem Rechner, Infiziert?
    Plagegeister aller Art und deren Bekämpfung - 13.05.2013 (18)
  7. Fragwürdige Prozesse im Task Manager + merkwürdige Benutzerkonten
    Plagegeister aller Art und deren Bekämpfung - 11.04.2013 (1)
  8. Problem: Laptop ist extrem langsam, andauernde fragwürdige Update-Mitteilungen
    Log-Analyse und Auswertung - 27.09.2012 (7)
  9. Hijackthis.de gehackt oder fragwürdige Werbung?
    Überwachung, Datenschutz und Spam - 08.10.2011 (22)
  10. Fragwürdige Windows Version
    Alles rund um Windows - 24.04.2009 (1)
  11. Fragwürdige Datei "phunter"
    Log-Analyse und Auswertung - 04.12.2008 (12)
  12. Fragwürdige Dateien
    Plagegeister aller Art und deren Bekämpfung - 29.09.2007 (5)
  13. Diverse fragwürdige Einträge
    Log-Analyse und Auswertung - 11.06.2007 (5)
  14. Bitte um auswertung ... 1 fragwürdige Datei
    Log-Analyse und Auswertung - 29.01.2007 (3)
  15. ein paar fragwürdige prozesse
    Log-Analyse und Auswertung - 30.07.2006 (2)
  16. ungewöhnlich hohe Netzwerkaktivitäten
    Alles rund um Windows - 20.04.2006 (17)

Zum Thema Fragwürdige Netzwerkaktivitäten - Guten Tag Trojaner-Board Community Ich würde euch gerne um eine Analyse meines Systems bitten. Es gibt eigentlich keine Probleme mit meinem PC (langsames Internet oder sonstiges), trotzdem möchte ich gerne - Fragwürdige Netzwerkaktivitäten...
Archiv
Du betrachtest: Fragwürdige Netzwerkaktivitäten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.