| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Recycler\ — Festplattenzugriff beinträchtigtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.04.2009, 21:14
| #1 |
| |  Recycler\ — Festplattenzugriff beinträchtigt Hallo Ich wende mich letzlich dann auch mal mit einem Thread an euch, nachdem ich die letzten 24 Stunden durch das lesen in diversen Thread eine linderung, aber keine völlige Bereinigung erfuhr. Bei mir handelt es sich um das Problem dass diese ganzen User hier auch schon hatten (und ich gelesen habe).  Die Vorgeschichte: Ich habe eine fragliche Datei aus dem Netz geladen und danach einen Bluescreen gehabt. Nach dem starten kam ich allerdings noch in Windows und hate aber eben den besagten Fehler. Interessant ist, dass ich auf die Platten (entgegen der anderen User in den Threads) noch zugreifen kann, wenn ich einfach in der Baum-Struktur auf den Laufwerksbuchstaben drücke. Mein System wird eigentlich geschützt mit ESET NOD32 Antivirus. Da ich alle Threads und Google-Ergebnisse zum Thema las, habe ich auch schon diverse Logs mit Malwarebytes, HiJackThis und Eset gemacht. Mit HijackThis fand sich am anfang auch gefährliche Einträge die ich löschte (und ich leider jetzt nichtmehr sagen kann wie diese hießen). Ich habe das System einmal komplett neu aufgezogen von der Recovery-CD meines Notebooks (Windows Home Edition) und der Fehler trat aber immernoch auf C: auf. Ich dachte mir, dass dies vielelicht sei, weil die Recovery-CD das System nur überschreibt, nicht aber Formatiert. Ich formatiere daher C: und zog es wieder mit der Recovery-CD auf und C war zu dem Zeitpunkt nichtmehr mit diesem Fehler befallen. Der Aktuelle Zustand: Mein Windows XP Home Edition hat nun (nach dem format+recovery) alle aktuellen Updates inkl. SP3, wird geschützt durch ESET NOD32 Antivirus 4 (Studentenversion) und Zonealarm Firewall 6.5 (Freeware). Ich habe mit CCleaner die Registry geprüft und gesäubert. Letzlich existiert das Problem nurnoch auf G: (Eine Truecrypt-verschlüsselte Platte) die nach dem Mounten diesen Fehler nennt. Der Trick mit dem löschen der Autoruns half bei mir nicht. Ich habe auch noch einen USB-Stick sowie zwei weitere externe Platten (Truecrypt verschlüsselt, waren auch gemountet als das Problem erstmals auftrat) die in meinen Augen nun allerdings auch kompromittiert sind und wo ich jetzt schon ratlos vorstehe die nach dem Mounten zu reinigen. Malwarebytesm, ESET (Lokal- wie Onlinescanner) und HijackThis können keine Fehler feststellen (weder auf C noch auf dem gemounteten G). Deher erbitte ich Hilfe von euch als meine letzet Hoffnung.  Was kann ich noch probieren damit es weggeht? Meine Logs: HiJackThis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:53:28, on 06.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ATKKBService.exe C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe C:\WINDOWS\system32\RemoteControlService.exe C:\Programme\Intel\Wireless\Bin\OProtSvc.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ASUS\ASUS Live Update\ALU.exe C:\Programme\ASUS\Wireless Console\wcourier.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EOUWiz.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\ASUS\Asus ChkMail\ChkMail.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\TrueCrypt\TrueCrypt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe O4 - HKLM\..\Run: [Wireless Console] C:\Programme\ASUS\Wireless Console\wcourier.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\ASUS\Asus ChkMail\ChkMail.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ITE Remote Control Service (ITECIRService) - ITE Tech. Inc. - C:\WINDOWS\system32\RemoteControlService.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe -- End of file - 5715 bytes Malwarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3
06.04.2009 22:09:14
mbam-log-2009-04-06 (22-09-14).txt
Scan-Methode: Vollständiger Scan (C:\|G:\|)
Durchsuchte Objekte: 182026
Laufzeit: 3 hour(s), 25 minute(s), 28 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Microsoft Malware Removing Tool (Der log ist nicht kopierbar, aber es wurden 2 TRojaner gefunden und entfernt. Leider habe ich mir vor dem klicken auf schleissen nicht notiert wie sie hiessen. Verdammt. Ich lass es derzeit nochmal laufen...) Eset Code:
ATTFilter Scan Log
Version of virus signature database: 3989 (20090406)
Date: 06.04.2009 Time: 16:17:11
Scanned disks, folders and files: Operating memory;G:\Boot sector;G:\
Number of scanned objects: 133655
Number of threats found: 0
Time of completion: 20:59:07 Total scanning time: 16916 sec (04:41:56)
Software-Liste: Code:
ATTFilter Adobe Reader 7.0
Asus ChkMail
ASUS Enhanced Display Driver
ASUS GameFace Live
ASUS Live Update
ASUS Probe V2.12
ASUS VideoSecurity Online
Asus_A_Series_ScreenSaver
ATI Control Panel
ATI Display Driver
ATK0100 ACPI UTILITY
BisonCam, NB Pro
CCleaner (remove only)
ESET NOD32 Antivirus
ESET Online Scanner
HDAUDIO SoftV92 Data Fax Modem with SmartCP
High Definition Audio - KB888111
HijackThis 2.0.2
Intel(R) PROSet/Wireless Software
Malwarebytes' Anti-Malware
Mozilla Firefox (3.0.8)
MSXML 4.0 SP2 (KB954430)
Power4 Gear
Realtek High Definition Audio Driver
Remote Controller
Synaptics Pointing Device Driver
TrueCrypt
Windows Genuine Advantage Validation Tool (KB892130)
Windows XP Service Pack 3
WinFlash
Wireless Console
ZoneAlarm
Nachtrag: Der Inahlt einer der gelöschten autorun.inf war übrigens Code:
ATTFilter [autorun]
;bzhznxrbkoabnlvmaoekbildfksftgetgvsmdiimcmaoyktsehgsbcedrbuolkkobbnxn
shellexecute="RECYCLER\S-2-2-78-100026122-100015138-100005506-6534.com d:\"
;sdywnfykmdkaaixficjxhysuqystwjkzomwmpzzrai
shell\Open\command="RECYCLER\S-2-2-78-100026122-100015138-100005506-6534.com d:\"
;zrelxafdykbcbrixwgaxsfkepjnyecw
shell=Open
Geändert von Indyaner (06.04.2009 um 22:12 Uhr) |
|
06.04.2009, 22:25
| #2 |
| |  Recycler\ — Festplattenzugriff beinträchtigt Eset hat schonmal in dem zusammenhang etwas auf dem USB-Stick gefunden:
__________________Code:
ATTFilter H:\RECYCLER\S-2-2-78-100026122-100015138-100005506-6534.com - Win32/AutoRun.Agent.LZ worm - cleaned by deleting - quarantined
Code:
ATTFilter Trojan: Win32/Alureon!inf
Geändert von Indyaner (06.04.2009 um 23:21 Uhr) |
|
07.04.2009, 00:30
| #3 |
| | Recycler\ — Festplattenzugriff beinträchtigt Und als letztes im Ablauf der Log von Combofix (Die ganzen Tutorials die ich dazu las machen einem ja wirklich angst, die Maus auch nur dabei zu bewegen
__________________ )Ich hoffe ihr könnt mir aufgrund der Infos nun etwas sagen  Ich danke schonmal im Vorraus. Ich finde dieses Forum ist eine SEHR gute Sache. Danke. Code:
ATTFilter ComboFix 09-04-04.01 - *** 2009-04-07 1:21:31.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2047.1553 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 ))))))))))))))))))))))))))))))
.
2009-04-06 23:04 . 2009-04-06 23:04 12 --a------ c:\windows\bthservsdp.dat
2009-04-06 22:43 . 2008-04-13 20:45 26,368 --a------ c:\windows\system32\dllcache\usbstor.sys
2009-04-06 16:15 . 2009-04-06 16:15 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\TrueCrypt
2009-04-06 16:14 . 2009-04-06 16:14 <DIR> d-------- c:\programme\TrueCrypt
2009-04-06 16:14 . 2009-04-06 16:15 215,872 --a------ c:\windows\system32\drivers\truecrypt.sys
2009-04-06 16:11 . 2009-04-06 16:11 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-06 16:11 . 2009-04-06 16:11 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-04-06 16:11 . 2009-04-06 16:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-06 16:11 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 16:11 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-06 16:08 . 2009-04-06 16:08 <DIR> d-------- c:\programme\CCleaner
2009-04-06 15:43 . 2009-04-06 15:43 <DIR> d-------- c:\programme\MSXML 4.0
2009-04-06 15:27 . 2009-04-06 15:27 <DIR> d-------- c:\windows\system32\de-de
2009-04-06 15:27 . 2009-04-06 15:27 <DIR> d-------- c:\windows\system32\de
2009-04-06 15:27 . 2009-04-06 15:27 <DIR> d-------- c:\windows\system32\bits
2009-04-06 15:27 . 2009-04-06 15:27 <DIR> d-------- c:\windows\l2schemas
2009-04-06 15:23 . 2009-04-06 15:23 <DIR> d-------- c:\windows\ServicePackFiles
2009-04-06 15:14 . 2009-04-06 15:14 <DIR> d-------- c:\windows\EHome
2009-04-06 15:04 . 2009-04-06 15:04 <DIR> d-------- c:\programme\ESET
2009-04-06 15:04 . 2009-04-06 15:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2009-04-06 14:52 . 2008-06-14 19:32 273,024 --------- c:\windows\system32\dllcache\bthport.sys
2009-04-06 14:51 . 2009-04-06 14:51 <DIR> d-------- c:\programme\Trend Micro
2009-04-06 14:51 . 2008-12-12 19:01 3,088,896 --------- c:\windows\system32\dllcache\mshtml.dll
2009-04-06 14:51 . 2008-08-14 15:19 2,191,488 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-04-06 14:51 . 2008-08-14 15:19 2,147,840 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-04-06 14:51 . 2008-08-14 15:19 2,068,352 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-04-06 14:51 . 2008-08-14 15:19 2,026,496 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-04-06 14:51 . 2008-10-16 03:00 1,499,136 --------- c:\windows\system32\dllcache\shdocvw.dll
2009-04-06 14:51 . 2008-10-16 03:00 671,744 --------- c:\windows\system32\dllcache\wininet.dll
2009-04-06 14:51 . 2008-10-16 03:00 620,544 --------- c:\windows\system32\dllcache\urlmon.dll
2009-04-06 14:50 . 2008-10-24 13:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2009-04-06 14:50 . 2008-05-08 16:02 203,136 --------- c:\windows\system32\dllcache\rmcast.sys
2009-04-06 14:49 . 2008-12-11 12:57 333,952 --------- c:\windows\system32\dllcache\srv.sys
2009-04-06 14:49 . 2008-05-01 16:34 331,776 --------- c:\windows\system32\dllcache\msadce.dll
2009-04-06 14:48 . 2009-04-06 14:48 <DIR> d-------- c:\programme\EsetOnlineScanner
2009-04-06 14:48 . 2008-09-04 19:15 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2009-04-06 14:48 . 2008-04-11 21:04 691,712 --------- c:\windows\system32\dllcache\inetcomm.dll
2009-04-06 14:48 . 2008-10-15 18:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2009-04-06 14:36 . 2008-04-14 04:22 4,274,816 --------- c:\windows\system32\nv4_disp.dll
2009-04-06 14:29 . 2009-04-06 14:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-04-06 14:18 . 2009-04-06 14:18 <DIR> d--hs---- C:\FOUND.000
2009-04-06 14:13 . 2004-08-04 15:00 176,157 --a------ c:\windows\system32\dllcache\dgrpsetu.dll
2009-04-06 14:13 . 2004-08-04 15:00 103,936 --a------ c:\windows\system32\dllcache\eqnclass.dll
2009-04-06 14:13 . 2004-08-04 15:00 86,556 --a------ c:\windows\system32\dllcache\dgsetup.dll
2009-04-06 14:13 . 2004-08-04 15:00 24,661 --a------ c:\windows\system32\dllcache\spxcoins.dll
2009-04-06 14:13 . 2004-08-04 15:00 13,824 --a------ c:\windows\system32\dllcache\irclass.dll
2009-04-06 14:10 . 2009-04-06 14:10 <DIR> d--h----- c:\windows\$hf_mig$
2009-04-06 14:09 . 2009-04-06 14:09 <DIR> d---s---- c:\dokumente und einstellungen\***\UserData
2009-04-06 14:09 . 2009-02-09 16:04 1,846,912 --------- c:\windows\system32\dllcache\win32k.sys
2009-04-06 14:07 . 2009-04-06 23:04 8,224 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-04-06 14:07 . 2009-04-06 23:04 1,148 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-04-06 14:03 . 2009-04-06 14:03 <DIR> d-------- c:\programme\Zone Labs
2009-04-06 14:03 . 2009-04-06 14:03 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-04-06 14:02 . 2009-04-06 14:02 <DIR> d-------- c:\windows\Internet Logs
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 11:49 17,801 ----a-w c:\windows\system32\drivers\AegisP.sys
2009-04-06 11:49 --------- d-----w c:\windows\system32\config\systemprofile\Anwendungsdaten\Intel
2009-04-06 11:49 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Intel
2009-04-06 11:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2009-04-06 11:47 606,848 ----a-w c:\windows\flashax.exe
2009-04-06 11:47 503,808 ----a-w c:\windows\Asus_A_Series_ScreenSaver.scr
2009-04-06 11:47 5,516,371 ----a-w c:\windows\A-series Demo.exe
2009-04-06 11:47 266,240 ----a-w c:\windows\ASUS A Series ScreenSaver Uninstaller.exe
2009-04-06 11:47 12,288 ----a-w c:\windows\impborl.dll
2009-04-06 11:46 --------- d-----w c:\programme\CONEXANT
2009-04-06 11:46 --------- d-----w c:\programme\ATI Technologies
2009-04-06 11:45 --------- d-----w c:\programme\GameFace Live
2009-04-06 11:40 --------- d-----w c:\windows\system32\config\systemprofile\Anwendungsdaten\Symantec
2009-04-06 11:40 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Symantec
2009-04-06 11:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-04-06 11:35 --------- d-----w c:\programme\Intel
2009-04-06 11:33 --------- d-----w c:\programme\Synaptics
2009-04-06 11:31 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 11:29 --------- d-----w c:\programme\ASUS
2009-04-06 11:28 --------- d-----w c:\programme\Realtek
2009-04-06 11:27 --------- d--h--w c:\programme\InstallShield Installation Information
2009-04-06 11:27 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-04-06 11:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBSI
2009-04-06 11:21 --------- d-----w c:\programme\microsoft frontpage
2009-04-06 11:19 --------- d-----w c:\programme\Online-Dienste
2009-04-06 11:19 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-02-06 12:24 93,336 ----a-w c:\windows\system32\drivers\epfwtdir.sys
2009-02-06 12:23 106,208 ----a-w c:\windows\system32\drivers\ehdrv.sys
2009-02-06 12:19 113,448 ----a-w c:\windows\system32\drivers\eamon.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="c:\windows\ATK0100\HControl.exe" [2005-07-06 102400]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2003-09-19 172032]
"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-07-22 57344]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-05-11 708697]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-12 344064]
"Power_Gear"="c:\programme\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 86016]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-03 385024]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-05-31 356352]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"RTHDCPL"="RTHDCPL.EXE" [2005-07-12 c:\windows\RTHDCPL.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ASUS ChkMail.lnk - c:\programme\ASUS\Asus ChkMail\ChkMail.exe [2009-04-06 32768]
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2005-05-31 22:46 110592 c:\programme\Intel\Wireless\Bin\LgNotify.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-02-06 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-02-06 93336]
R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-02-06 727720]
R2 ITECIRService;ITE Remote Control Service;c:\windows\system32\RemoteControlService.exe [2009-04-06 656384]
R3 AVerE506;AVerE506 service;c:\windows\system32\drivers\AVerE506.sys [2009-04-06 480512]
R3 ITECIR;ITE CIR Driver;c:\windows\system32\drivers\ITECIR.sys [2009-04-06 7366]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-4-2-46-100010629-100008949-100025579-7807.com m:\
\Shell\Open\command - RECYCLER\S-4-2-46-100010629-100008949-100025579-7807.com m:\
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.asus.com
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dohamm96.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
.
**************************************************************************
catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 01:23:37
Windows 5.1.2600 Service Pack 3 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(992)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll
.
Zeit der Fertigstellung: 2009-04-07 1:24:43
ComboFix-quarantined-files.txt 2009-04-06 23:24:40
Vor Suchlauf: 12 Verzeichnis(se), 15.115.452.416 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 15,109,963,776 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
178
|
|
| Themen zu Recycler\ — Festplattenzugriff beinträchtigt |
| adobe, anfang, bho, bluescree, bluescreen, computer, eset nod32, explorer, externe platte, festplatte, firefox, handel, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, laufwerksbuchstabe, logfile, malwarebytes' anti-malware, monitor, mozilla, problem, registrierungsschlüssel, registry, remote control, rojaner gefunden, server, software, starten, system, trick, trojaner gefunden, updates, usb-stick, windows, windows xp |
Linear-Darstellung
