Bitte mal das Logfile durchschauen!

14.04.2009, 10:50

Hallo miteinander,

ich sitze gerade vor dem Rechner meines Vaters, und da musste ich gerade ein paar merkwürdige Aktivitäten feststellen. So z.B: das ich bei vielen Google Suchergebnissen auf andere Seiten weitergeleitet werde, als auf die Adressen die bei Google auftauchen. Oder als ich eben die Seite Trojaner Board aufrufen wollte, landete ich ebenfalls auf einer anderen Seite. Erst nach dem fünften Versuch klappte es, Hier das Logfile. Ich hoffe es ist nichts ernstes.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:29:45, on 14.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Dit.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\DitExp.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166963601171
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3AEBB7D-C990-42E4-B7EB-CD9E787DA53F}: NameServer = 82.144.41.8 82.145.9.8
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4926 bytes

Sagt mir auch bitte, was Ihr sonst noch für Infos von diesem Rechner braucht. Was ich hir noch anfügen möchte, ist das AntiVir und Malwarebytes nichts finden können.

undoreal · 14.04.2009, 12:10

Halli hallo Debakel.

Poste bitte den AntiVir Bericht und das Malwarebytes log. Poste generell alle logs.

GMER - Rootkit Detection

Lade GMER von hier
entpacke es auf den Dektop
Doppelklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Systemanalyse

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
Starte den Rechner neu. Öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
Alle AntiViren Programme und Wächter sollten weiterhin deaktiviert sein!
Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
Unter File -> Database Update Start drücken.
Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
Im Hauptfenster den Start Button drücken.
Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
Deaktiviere den AVZGuard!
Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

14.04.2009, 16:03

Hat etwas gedauert, aber hier ist alles, ich hoffe ich habe nichts vergessen.

Hier das AntiVir Logfile

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 14. April 2009  13:48

Es wird nach 1350326 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : HPPAV

Versionsinformationen:
BUILD.DAT      : 9.0.0.387     17962 Bytes  24.03.2009 11:03:00
AVSCAN.EXE     : 9.0.3.3      464641 Bytes  24.02.2009 10:13:22
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 10:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 09:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 08:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 10:30:36
ANTIVIR1.VDF   : 7.1.2.12    3336192 Bytes  11.02.2009 18:33:26
ANTIVIR2.VDF   : 7.1.3.0     1330176 Bytes  01.04.2009 02:31:20
ANTIVIR3.VDF   : 7.1.3.47     211968 Bytes  14.04.2009 10:14:32
Engineversion  : 8.2.0.138
AEVDF.DLL      : 8.1.1.0      106868 Bytes  27.01.2009 15:36:42
AESCRIPT.DLL   : 8.1.1.73     373114 Bytes  04.04.2009 18:02:55
AESCN.DLL      : 8.1.1.10     127348 Bytes  04.04.2009 18:02:54
AERDL.DLL      : 8.1.1.3      438645 Bytes  29.10.2008 16:24:41
AEPACK.DLL     : 8.1.3.12     397687 Bytes  04.04.2009 18:02:53
AEOFFICE.DLL   : 8.1.0.36     196987 Bytes  26.02.2009 18:01:56
AEHEUR.DLL     : 8.1.0.114   1700214 Bytes  04.04.2009 18:02:53
AEHELP.DLL     : 8.1.2.2      119158 Bytes  26.02.2009 18:01:56
AEGEN.DLL      : 8.1.1.33     340340 Bytes  04.04.2009 18:02:51
AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 12:32:40
AECORE.DLL     : 8.1.6.7      176502 Bytes  04.04.2009 18:02:50
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 12:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 06:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 09:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 12:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 13:25:04
AVARKT.DLL     : 9.0.0.1      292609 Bytes  09.02.2009 05:52:20
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 08:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 13:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 06:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 13:41:21
RCIMAGE.DLL    : 9.0.0.21    2438401 Bytes  09.02.2009 09:41:16
RCTEXT.DLL     : 9.0.35.0      87809 Bytes  11.03.2009 13:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: löschen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 14. April 2009  13:48

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\WINDOWS\system32\svchost.exe'
Signiert -> 'C:\WINDOWS\system32\winlogon.exe'
Signiert -> 'C:\WINDOWS\explorer.exe'
Signiert -> 'C:\WINDOWS\system32\smss.exe'
Signiert -> 'C:\WINDOWS\system32\wininet.DLL'
Signiert -> 'C:\WINDOWS\system32\wsock32.DLL'
Signiert -> 'C:\WINDOWS\system32\ws2_32.DLL'
Signiert -> 'C:\WINDOWS\system32\services.exe'
Signiert -> 'C:\WINDOWS\system32\lsass.exe'
Signiert -> 'C:\WINDOWS\system32\csrss.exe'
Signiert -> 'C:\WINDOWS\system32\drivers\kbdclass.sys'
Signiert -> 'C:\WINDOWS\system32\spoolsv.exe'
Signiert -> 'C:\WINDOWS\system32\alg.exe'
Signiert -> 'C:\WINDOWS\system32\wuauclt.exe'
Signiert -> 'C:\WINDOWS\system32\advapi32.DLL'
Signiert -> 'C:\WINDOWS\system32\user32.DLL'
Signiert -> 'C:\WINDOWS\system32\gdi32.DLL'
Signiert -> 'C:\WINDOWS\system32\kernel32.DLL'
Signiert -> 'C:\WINDOWS\system32\ntdll.DLL'
Signiert -> 'C:\WINDOWS\system32\ntoskrnl.exe'
Signiert -> 'C:\WINDOWS\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '45533' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hposts08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'gearsec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpoevm08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpohmr08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DitExp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NCLAUNCH.EXe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kbd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '55' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Programme\Adobe\Reader 9.0\Setup Files\{AC76BA86-7AD7-1031-7B44-A91000000001}\Data1.cab
  [0] Archivtyp: CAB (Microsoft)
    --> Real.DEU
      [WARNUNG]   Die Datei konnte nicht geschrieben werden!
    --> Hls.deu
      [WARNUNG]   Die Datei konnte nicht geschrieben werden!
    --> MinionPro_Bold.otf
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <BACKUP>
Beginne mit der Suche in 'E:\' <RECOVER>


Ende des Suchlaufs: Dienstag, 14. April 2009  14:17
Benötigte Zeit: 28:37 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   5933 Verzeichnisse wurden überprüft
 191262 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 191260 Dateien ohne Befall
   6467 Archive wurden durchsucht
      6 Warnungen
      2 Hinweise
  45533 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Hier Malawarebytes.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1981
Windows 5.1.2600 Service Pack 3

14.04.2009 13:43:06
mbam-log-2009-04-14 (13-43-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 131010
Laufzeit: 37 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gmer lief knapp 2 Stunden.

Code:

ATTFilter

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-14 15:59:08
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            FA4EC1F6                                         ZwCreateKey
SSDT            FA4EC1EC                                         ZwCreateThread
SSDT            FA4EC1FB                                         ZwDeleteKey
SSDT            FA4EC205                                         ZwDeleteValueKey
SSDT            FA4EC20A                                         ZwLoadKey
SSDT            FA4EC1D8                                         ZwOpenProcess
SSDT            FA4EC1DD                                         ZwOpenThread
SSDT            FA4EC214                                         ZwReplaceKey
SSDT            FA4EC20F                                         ZwRestoreKey
SSDT            FA4EC200                                         ZwSetValueKey
SSDT            FA4EC1E7                                         ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                         fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                         fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                           F2E40400

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl  (size mismatch) 8192/4096 bytes

---- EOF - GMER 1.0.15 ----

Hier das AVZ Log.

Code:

ATTFilter

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 14.04.2009 16:15:09
Database loaded: signatures - 218627, NN profile(s) - 2, microprograms of healing - 56, signature database released 13.04.2009 22:23
Heuristic microprograms loaded: 372
SPV microprograms loaded: 9
Digital signatures of system files loaded: 107096
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: Disabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
 Analysis: kernel32.dll, export table found in section .text
 Analysis: ntdll.dll, export table found in section .text
 Analysis: user32.dll, export table found in section .text
 Analysis: advapi32.dll, export table found in section .text
 Analysis: ws2_32.dll, export table found in section .text
 Analysis: wininet.dll, export table found in section .text
 Analysis: rasapi32.dll, export table found in section .text
 Analysis: urlmon.dll, export table found in section .text
 Analysis: netapi32.dll, export table found in section .text
1.4 Searching for masking processes and drivers
 Searching for masking processes and drivers - complete
 Driver loaded successfully
1.5 Checking of IRP handlers
 Checking - complete
2. Scanning memory
 Number of processes found: 33
 Number of modules loaded: 317
Scanning memory - complete
3. Scanning disks
Direct reading C:\WINDOWS\$NtUninstallKB824141$\user32.dll
Direct reading C:\WINDOWS\$NtUninstallKB824141$\win32k.sys
Direct reading C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe
Direct reading C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\hh.exe
Direct reading C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx
Direct reading C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\itss.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\locator.exe
Direct reading C:\WINDOWS\$NtUninstallKB826939$\magnify.exe
Direct reading C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe
Direct reading C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys
Direct reading C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\narrator.exe
Direct reading C:\WINDOWS\$NtUninstallKB826939$\newdev.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe
Direct reading C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe
Direct reading C:\WINDOWS\$NtUninstallKB826939$\osk.exe
Direct reading C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys
Direct reading C:\WINDOWS\$NtUninstallKB826939$\shell32.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\srv.sys
Direct reading C:\WINDOWS\$NtUninstallKB826939$\user32.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\win32k.sys
Direct reading C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll
Direct reading C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll
Direct reading C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll
Direct reading C:\WINDOWS\$NtUninstallKB826942$\ndis.sys
Direct reading C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys
Direct reading C:\WINDOWS\$NtUninstallKB826942$\netshell.dll
Direct reading C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll
Direct reading C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll
Direct reading C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll
Direct reading C:\WINDOWS\$NtUninstallKB826942$\xpsp2res.dll
Direct reading C:\WINDOWS\$NtUninstallKB828028$\msasn1.dll
Direct reading C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll
Direct reading C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\colbact.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe
Direct reading C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\comuid.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\es.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe
Direct reading C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\ole32.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll
Direct reading C:\WINDOWS\$NtUninstallKB828741$\txflog.dll
Direct reading C:\WINDOWS\$NtUninstallKB833998$\shell32.dll
Direct reading C:\WINDOWS\$NtUninstallKB833998$\sxs.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\callcont.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\msgina.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\mst120.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\schannel.dll
Direct reading C:\WINDOWS\$NtUninstallKB835732$\xpsp2res.dll
Direct reading C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx
Direct reading C:\WINDOWS\$NtUninstallQ828026$\wmp.dll
4. Checking  Winsock Layered Service Provider (SPI/LSP)
 LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
 Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
 >>  HDD autorun are allowed
 >>  Autorun from network drives are allowed
 >>  Removable media autorun are allowed
Checking - complete
Files scanned: 61029, extracted from archives: 39744, malicious software found 0, suspicions - 0
Scanning finished at 14.04.2009 16:25:31
Time of scanning: 00:10:24
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

Und hier die Zip Datei von AVZ

http://rapidshare.com/files/221258148/avz_sysinfo.zip.html

An dieser Stelle muss ich erstmal hier abbrechen, und morgen früh weitermachen. Dieser Rechner wird auf jeden fall für heute erstmal Runtergefahren und bleibt auch, bis ich wieder dransitze erstmal aus.
Soweit ich die Logfiles von GMER und AVZ richtig gedeutet habe ahne ich nichts gutes.

Also bis später.

undoreal · 14.04.2009, 17:09

Also die logs sind absolut sauber. Keinerlei Auffälligkeiten. Das wundert mich bei den beschriebenen Problemen doch sehr.

Sind die Probleme immer noch vorhanden? Wenn ja, beschreibe sie bitte nocheinmal ganz genau.

14.04.2009, 17:29

Das die Logs sauber sind wundert mich jetzt wiederrum, musst du mir mal bitte genauer erläutern, vor allem das GMER Log.
Also, die Auffälligkeiten sind wie folgt:
Gestern wurde ich durch eine Google Suchanfrage "Windows Grüne Idylle"
auf eine Seite weitergeleitet, wo die Adresse im Browser, nicht die Adresse war
die im ersten Google Suchergebnis auftauchte. Erst nach dem zweiten anklicken landete ich auf der ensprechenden Seite.
Die nächste Sache ist, das als ich vorhin die Board Seite Öffnen wollte,
stand Error 404 Forbidden auf weißem Hintergrund da. Erst nach dem 10. Versuch öffnete sich die Seite.
Und der Rechner braucht fast 2 Minuten um komplett hochzufahren. Aber gut das könnte auch daran liegen das seit ungefähr 5 Jahren keine Neuinstallation mehr gemacht wurde, denn Windows müllt sich ja zu.
Mehr konnte ich bis jetzt noch nicht feststellen.

Trotzdem hätte ich ganz gerne noch eine kurze Erläuterung wie die Programme GMER und AVZ arbeiten.

undoreal · 14.04.2009, 19:06

Wie GMER und AVZ arbeiten kannst du dir ergooglen..

Sind die Probleme immer noch vorhanden?

Ist der Router Passwort geschütz? Welches Passwort wird verwendet? Das von Werk oder ein selbst erstelltes?

14.04.2009, 19:57

Wie gesagt ich sitze seit 17 Uhr nicht mehr vor diesem Rechner erst morgen wieder. Habe nachdem ich die Logfiles gepostet habe, diesen direkt ausgeschaltet.
Der Internetserviceprovider meines Vaters ist Versatel.
Den Router konnte ich jetzt auf der Homepage nicht finden, werde mir aber das Gerät morgen nochmal anschauen, und danach Googeln, und den Link posten.
Ich möchze jetzt nicht paranoid klingen, aber nach den ganzen Meldungen auf heise und PC Welt in den letzten Wochen über die Ausbreitung von neu
Entwickeltem Schadcode (speziell Conficker) möchte ich einfach folgendes Sicherstellen:

1. Das das System Sauber ist
2. Das der Rechner von einem eventuellen Befall gesäubert wird
3. So das Ich diesen danach Neuaufsetzen kann, und Ihn mit den gleichen
Sicherheitsrichtlinien einrichte, so wie ich es bei meinem gemacht habe.

Stimmt, Asche auf mein Haupt streu.
Gmer und Avm Fragen gelöst.

15.04.2009, 11:14

Das hier ist das Modem.

http://www.sphairon.com/fld7106/fld0347/fld0812/2101_01.html

Habe gerade eben Defraggler von Piriform laufen lassen, und siehe da der Rechner ist nun um einiges schneller als vorher, und die falschen Google Weiterleitungen existieren auchn nicht mehr.
Manchmal sind die einfachsten Lösungen doch die besten, also war der Rechner wirklich nur zugemüllt. Aber wie gesagt, man kann sich ja heutzutage nicht sicher genug sein. Und an dieser Stelle muss man hier nochmal erwähnen das es sehr traurig ist, das andere Softwareentwickler Tools entwickeln die definitiv besser sind als die Windows eigenen. Denn der Defraggler hat soeben mal knapp 3 GB zusätzlich an freien Speicher geschaffen. Sehr traurig Herr Gates.

Gut werde den Rechner jetzt erstmal Frisch Aufsetzen.

Falls Du zu dem Modem noch etwas hinzufügen kannst, oder noch einen Tipp hast bin ich natürlich gerne Offen dafür. Ansonsten bin ich estmal soweit durch hier. Danke für deine schnelle und kompetente Hilfe, schön das es noch Foren gibt wo man sich einfach gut aufgehoben fühlt.

mfg Debakel

14.04.2009, 19:06	#6
undoreal /// AVZ-Toolkit Guru	Bitte mal das Logfile durchschauen! Wie GMER und AVZ arbeiten kannst du dir ergooglen.. Sind die Probleme immer noch vorhanden? Ist der Router Passwort geschütz? Welches Passwort wird verwendet? Das von Werk oder ein selbst erstelltes? __________________ --> Bitte mal das Logfile durchschauen!

Bitte mal das Logfile durchschauen!

Log-Analyse und Auswertung: Bitte mal das Logfile durchschauen!