Sehr langsame Ladezeiten in Firefox, Opera und IE

weti · 09.07.2009, 17:10

Combofixlogfile ist zu lang und als Datei zu gross. Was tun?

Habe sie gepackt als *.rar. Musst du in *.rar umbenenen! Hoffentlich geht das....

hier erstmal von Superantispy
------------------
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/09/2009 at 05:56 PM

Application Version : 4.26.1006

Core Rules Database Version : 3982
Trace Rules Database Version: 1922

Scan type : Complete Scan
Total Scan Time : 01:14:54

Memory items scanned : 553
Memory threats detected : 0
Registry items scanned : 7428
Registry threats detected : 0
File items scanned : 124746
File threats detected : 6

Trojan.Agent/Gen-PEC
C:\SYSTEM VOLUME INFORMATION\_RESTORE{4265E495-4877-4C04-8E06-F2EFF7248612}\RP1\A0000067.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{4265E495-4877-4C04-8E06-F2EFF7248612}\RP1\A0000095.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{4265E495-4877-4C04-8E06-F2EFF7248612}\RP1\A0000177.EXE
C:\WINDOWS\PEV.EXE
C:\WINDOWS\Prefetch\PEV.EXE-0CE2BF4A.pf

Trojan.Downloader-Gen/Suspicious
D:\DOWNLOAD\VIREN\MBR.EXE

undoreal · 09.07.2009, 20:09

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

c:\windows\nsreg.dat
c:\windows\system32\BGLsp.dll
c:\windows\system32\dllcache\iecompat.dll
c:\windows\system32\dllcache\xpshims.dll
c:\windows\system32\cjpcsc.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

weti · 09.07.2009, 20:20

Hi,

die Logdateine werden zu lang!

weti · 09.07.2009, 20:41

Moin Undo,

puuuhh, bin ich froh, dass du (wieder) da bist. Ich steh völlig auf dem Schlauch.

Hier erst mal die Virustotal als TXT - ungezippt

Ich mach jetzt noch den Pandascan

undoreal · 09.07.2009, 22:51

Die Dateien sind soweit sauber.

Auf welchem Schlauch stehst du?

Wie sehen die Ladezeiten aus?

PandaScan läuft noch ne Weile.... macht nichts. Dann morgen weiter.

weti · 10.07.2009, 06:41

Moin,
der scan ist durch. Mit auffem 'schlauch' stehen meine ich, dass ich es nur benklich finde, Trojaner auffem PC zu haben, weil ich doch mit sehr sensiblen Daten und geschützten Datenbanken arbeiten mussarbeiten muss.

Die Ladezeiten sind nach wie vor ok.
Die Hakelei der Tastatur hat sich auch gegeben, zumindest vorübergehend (ich hatte das schon früher mal und irgendwann wars auch weg)

Hier die Log datei:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-07-10 07:36:02
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 2
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
BullGuard Antivirus X.0 No No
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00538294 Trj/Agent.LIZ Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{4265E495-4877-4C04-8E06-F2EFF7248612}\RP1\A0000020.dll
00538294 Trj/Agent.LIZ Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\jestertb.dll.vir
01895149 Malicious Packer SecRisk No 0 No No Z:\Werner\Download\Musik\No23Recorder.exe[Z:\Werner\Download\Musik\No23Recorder.exe][No23Recorder.exe]
01895149 Malicious Packer SecRisk No 0 No No D:\Download\Musik\No23Recorder.exe[D:\Download\Musik\No23Recorder.exe][No23Recorder.exe]
03204904 Trj/Lineage.BZE Virus/Trojan No 1 No No Z:\Werner\Download\Software\SecurityTaskmanager\taskmanager16.exe[Z:\Werner\Download\Software\SecurityTaskmanager\taskmanager16.exe][TaskMan.exe]
03204904 Trj/Lineage.BZE Virus/Trojan No 1 No No D:\Download\Software\SecurityTaskmanager\taskmanager16.exe[D:\Download\Software\SecurityTaskmanager\taskmanager16.exe][TaskMan.exe]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location w4
;===================================================================================================================================================== ==============================
No C:\Programme\SchnapperPlus\DoUpdate.exe[SchnapperPlus.exe] w4
No C:\Programme\SchnapperPlus\SchnapperPlus.exe w4
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description w4
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Ergänzung:
Trj/Lineage.BZ... Virus Latent
Nicht desinfizierbar
1. D:\Download\Software\SecurityTaskmanager\task...ger\taskmanager16.exe][TaskMan.exe]
2. Z:\Werner\Download\Software\SecurityTaskmanag...ger\taskmanager16.exe][TaskMan.exe]

Trj/Agent.LIZ Virus Latent
1. C:\System Volume Information\_restore{4265E49...8E06-F2EFF7248612}\RP1\A0000020.dll
2. C:\Qoobox\Quarantine\C\WINDOWS\jestertb.dll.vir

Malicious Pack... Sicherheitsrisiko Latent
Nicht desinfizierbar
1. Z:\Werner\Download\Musik\No23Recorder.exe[Z:\...No23Recorder.exe][No23Recorder.exe]
2. D:\Download\Musik\No23Recorder.exe[D:\Downloa...No23Recorder.exe][No23Recorder.exe]

undoreal · 10.07.2009, 11:25

Also wenn du sensible Daten auf dem Rechner verarbeitest dann wundert es mich ehrlich gesagt, dass du überhaupt noch online bist.
Sollte das wirklich der Fall sein dann gehört dere Rechner im Falle einer Infektion selbstverständlich sofort vom Netz getrennte und neuaufgesetzt!

Deaktiviere die Systemwiederherstellung auf allen Laufwerken:
http://www.systemwiederherstellung-deaktivieren.de

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

D:\Download\Musik\No23Recorder.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

weti · 10.07.2009, 12:02

Hi, schön, dass du wieder da bist.

Habe den Rechner zunächst vom Netzt getrennt, da ich aber deine Aufgaben nicht offline erledigen konnte, bin ich wieder ans Netz gegangen. Das meiste schreibe ich aber vom Netbook aus.

Die Daten liegen nicht lokal sondern im Netz, natürlich geschützt, aber möglicherweise will da ja jemand ran.

Ich war nicht untätig und habe schon alle Dateien mit Virustotal gescannt. Ausnahme mit Dateien aus System Volume Information - da komme ich nicht dran.

Aber das sind z.T. Setupdateien, deren Programme ich gar nicht mehr installiert habe (z.B. NO23recorder)

Hoffentlich sind die Logs nicht zu lang oder zu groß.

Ok, here we go.

Bin grad mal für ca 60 min zum Termin. Bis gleich

undoreal · 12.07.2009, 10:42

Wie gesagt, der Rechner ist augenscheinlich sauber aber wer sensible Daten verarbeitet sollte kein Risiko eingehen sondern den Rechner neuaufsetzen.

http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html

the_sunics · 12.07.2009, 10:50

Zitat:

Zitat von undoreal

Das war nur ein erstes Ausschlussverfahren. Meine Ideen folgenden jetzt erst....

Hast du eine Bullguard Lizenz? Also hast du dafür bezahlt?
Ich halte nämlich nicht so sehr viel davon.

Wenn du dafür bezahlt hast dann installiere wieder Bullguard.

Wenn nicht dann installiere dir AntiVir free.

Alle anderen Sicherheitsprogramme bleiben bitte weit weg von deinem Rechner!

Danach überprüfe deinen Rechner bitte mit gmer:

GMER - Rootkit Detection

Lade GMER von hier
entpacke es auf den Dektop
Doppelklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Hallo Leute.

Ich misch mich mal hier mit in die runde weil ich denke ich habe genau das selbe prob. Ich habe mit dem GMER tool folgende auswertung.

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-12 11:45:37
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

SSDT F7C6284E ZwCreateKey
SSDT F7C62844 ZwCreateThread
SSDT F7C62853 ZwDeleteKey
SSDT F7C6285D ZwDeleteValueKey
SSDT spzg.sys ZwEnumerateKey [0xF73EDCA4]
SSDT spzg.sys ZwEnumerateValueKey [0xF73EE032]
SSDT F7C62862 ZwLoadKey
SSDT spzg.sys ZwOpenKey [0xF73CF0C0]
SSDT F7C62830 ZwOpenProcess
SSDT F7C62835 ZwOpenThread
SSDT spzg.sys ZwQueryKey [0xF73EE10A]
SSDT spzg.sys ZwQueryValueKey [0xF73EDF8A]
SSDT F7C6286C ZwReplaceKey
SSDT F7C62867 ZwRestoreKey
SSDT F7C62858 ZwSetValueKey
SSDT F7C6283F ZwTerminateProcess

INT 0x62 ? 86F67BF8
INT 0x63 ? 86DCEBF8
INT 0x73 ? 86F67BF8
INT 0x73 ? 86F67BF8
INT 0x73 ? 86DCEBF8
INT 0x83 ? 86DCEBF8
INT 0xB4 ? 86DCEBF8

---- Kernel code sections - GMER 1.0.15 ----

? spzg.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F6B5B8AC 5 Bytes JMP 86DCE1D8
.text aoyfvfud.SYS F6AC3386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text aoyfvfud.SYS F6AC33AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text aoyfvfud.SYS F6AC33C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text aoyfvfud.SYS F6AC33C9 1 Byte [2E]
.text aoyfvfud.SYS F6AC33C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
.text ...

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] kernel32.dll!FreeLibrary 7C80AC7E 5 Bytes JMP 029644DC
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467178F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671710 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671754 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467169C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446716D6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446717CA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!InternetReadFile 441FABCC 5 Bytes JMP 02963A90
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!InternetQueryDataAvailable 441FAE0D 5 Bytes JMP 02963E00
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!InternetOpenA 441FC879 5 Bytes JMP 02963750
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!HttpSendRequestA 441FCD50 5 Bytes JMP 02963788
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!HttpSendRequestW 4421083D 5 Bytes JMP 029638FC
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!InternetReadFileExA 44213F48 5 Bytes JMP 02963A70

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73D0042] spzg.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73D013E] spzg.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73D00C0] spzg.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73D0800] spzg.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73D06D6] spzg.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73DFE9C] spzg.sys
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KfAcquireSpinLock] CCCCCCC3
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!READ_PORT_UCHAR] CCCCCCCC
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KeGetCurrentIrql] CCCCCCCC
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KfRaiseIrql] CCCCCCCC
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KfLowerIrql] 8BEC8B55
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!HalGetInterruptVector] 00C73445
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!HalTranslateBusAddress] 00000000
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KeStallExecutionProcessor] 830C458B
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KfReleaseSpinLock] C0840CEC
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 053C0D74
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!READ_PORT_USHORT] 57B80974
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 8B000000
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!WRITE_PORT_UCHAR] 56C35DE5
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[WMILIB.SYS!WmiSystemControl] 8D51FC4D
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[WMILIB.SYS!WmiCompleteRequest] 8D52FD55

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 86F661F8
Device \FileSystem\Fastfat \FatCdrom 86D641F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{915A5867-D795-4F56-9499-6BD56C883E35} 868891F8
Device \Driver\usbuhci \Device\USBPDO-0 86DCD1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 86FD91F8
Device \Driver\dmio \Device\DmControl\DmConfig 86FD91F8
Device \Driver\dmio \Device\DmControl\DmPnP 86FD91F8
Device \Driver\dmio \Device\DmControl\DmInfo 86FD91F8
Device \Driver\usbuhci \Device\USBPDO-1 86DCD1F8
Device \Driver\usbuhci \Device\USBPDO-2 86DCD1F8
Device \Driver\usbuhci \Device\USBPDO-3 86DCD1F8
Device \Driver\PCI_PNP9596 \Device\00000047 spzg.sys
Device \Driver\PCI_PNP9596 \Device\00000047 spzg.sys
Device \Driver\usbehci \Device\USBPDO-4 86D991F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 86F681F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 86F681F8
Device \Driver\Cdrom \Device\CdRom0 86D691F8
Device \Driver\Cdrom \Device\CdRom1 86D691F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 86F681F8
Device \Driver\Ftdisk \Device\HarddiskVolume4 86F681F8
Device \Driver\usbstor \Device\00000076 868DC1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 868891F8
Device \Driver\NetBT \Device\NetbiosSmb 868891F8
Device \Driver\usbstor \Device\00000079 868DC1F8
Device \Driver\usbuhci \Device\USBFDO-0 86DCD1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{9A4D90F4-A662-4D95-BCAE-E9AB26003472} 868891F8
Device \Driver\usbuhci \Device\USBFDO-1 86DCD1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86879500
Device \Driver\usbuhci \Device\USBFDO-2 86DCD1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86879500
Device \Driver\usbuhci \Device\USBFDO-3 86DCD1F8
Device \Driver\sptd \Device\110709596 spzg.sys
Device \Driver\usbehci \Device\USBFDO-4 86D991F8
Device \Driver\Ftdisk \Device\FtControl 86F681F8
Device \Driver\aoyfvfud \Device\Scsi\aoyfvfud1 86CFC1F8
Device \FileSystem\Fastfat \Fat 86D641F8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 868B1500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011b107a235
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011b107a235@00254857e6b8 0x06 0x0C 0xBA 0x5B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011b107a235@001e3a288949 0xA3 0x1C 0x02 0x9E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 52\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x76 0x7B 0x62 0xCB ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 52\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x76 0x7B 0x62 0xCB ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011b107a235
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011b107a235@00254857e6b8 0x06 0x0C 0xBA 0x5B ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011b107a235@001e3a288949 0xA3 0x1C 0x02 0x9E ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 52\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x76 0x7B 0x62 0xCB ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

---- EOF - GMER 1.0.15 ----

Das tool zeigt nichts an mit[*]Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Würde mich sehr über Hilfe freuen. Danke im vorraus.

Gruß the_sunics

the_sunics · 12.07.2009, 11:15

[QUOTE=the_sunics;447012]Hallo Leute.

Ich misch mich mal hier mit in die runde weil ich denke ich habe genau das selbe prob. Ich habe mit dem GMER tool folgende auswertung. Ich habe alle schritte vorher durchgeführt. Also schritt 1&2. Aber da ist leider keine Besserung in sicht.

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-12 11:45:37
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

SSDT F7C6284E ZwCreateKey
SSDT F7C62844 ZwCreateThread
SSDT F7C62853 ZwDeleteKey
SSDT F7C6285D ZwDeleteValueKey
SSDT spzg.sys ZwEnumerateKey [0xF73EDCA4]
SSDT spzg.sys ZwEnumerateValueKey [0xF73EE032]
SSDT F7C62862 ZwLoadKey
SSDT spzg.sys ZwOpenKey [0xF73CF0C0]
SSDT F7C62830 ZwOpenProcess
SSDT F7C62835 ZwOpenThread
SSDT spzg.sys ZwQueryKey [0xF73EE10A]
SSDT spzg.sys ZwQueryValueKey [0xF73EDF8A]
SSDT F7C6286C ZwReplaceKey
SSDT F7C62867 ZwRestoreKey
SSDT F7C62858 ZwSetValueKey
SSDT F7C6283F ZwTerminateProcess

INT 0x62 ? 86F67BF8
INT 0x63 ? 86DCEBF8
INT 0x73 ? 86F67BF8
INT 0x73 ? 86F67BF8
INT 0x73 ? 86DCEBF8
INT 0x83 ? 86DCEBF8
INT 0xB4 ? 86DCEBF8

---- Kernel code sections - GMER 1.0.15 ----

? spzg.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F6B5B8AC 5 Bytes JMP 86DCE1D8
.text aoyfvfud.SYS F6AC3386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text aoyfvfud.SYS F6AC33AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text aoyfvfud.SYS F6AC33C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text aoyfvfud.SYS F6AC33C9 1 Byte [2E]
.text aoyfvfud.SYS F6AC33C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
.text ...

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] kernel32.dll!FreeLibrary 7C80AC7E 5 Bytes JMP 029644DC
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467178F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671710 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671754 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467169C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446716D6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446717CA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!InternetReadFile 441FABCC 5 Bytes JMP 02963A90
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!InternetQueryDataAvailable 441FAE0D 5 Bytes JMP 02963E00
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!InternetOpenA 441FC879 5 Bytes JMP 02963750
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!HttpSendRequestA 441FCD50 5 Bytes JMP 02963788
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!HttpSendRequestW 4421083D 5 Bytes JMP 029638FC
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2900] WININET.dll!InternetReadFileExA 44213F48 5 Bytes JMP 02963A70

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73D0042] spzg.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73D013E] spzg.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73D00C0] spzg.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73D0800] spzg.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73D06D6] spzg.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73DFE9C] spzg.sys
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KfAcquireSpinLock] CCCCCCC3
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!READ_PORT_UCHAR] CCCCCCCC
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KeGetCurrentIrql] CCCCCCCC
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KfRaiseIrql] CCCCCCCC
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KfLowerIrql] 8BEC8B55
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!HalGetInterruptVector] 00C73445
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!HalTranslateBusAddress] 00000000
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KeStallExecutionProcessor] 830C458B
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!KfReleaseSpinLock] C0840CEC
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 053C0D74
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!READ_PORT_USHORT] 57B80974
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 8B000000
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[HAL.dll!WRITE_PORT_UCHAR] 56C35DE5
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[WMILIB.SYS!WmiSystemControl] 8D51FC4D
IAT \SystemRoot\System32\Drivers\aoyfvfud.SYS[WMILIB.SYS!WmiCompleteRequest] 8D52FD55

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 86F661F8
Device \FileSystem\Fastfat \FatCdrom 86D641F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{915A5867-D795-4F56-9499-6BD56C883E35} 868891F8
Device \Driver\usbuhci \Device\USBPDO-0 86DCD1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 86FD91F8
Device \Driver\dmio \Device\DmControl\DmConfig 86FD91F8
Device \Driver\dmio \Device\DmControl\DmPnP 86FD91F8
Device \Driver\dmio \Device\DmControl\DmInfo 86FD91F8
Device \Driver\usbuhci \Device\USBPDO-1 86DCD1F8
Device \Driver\usbuhci \Device\USBPDO-2 86DCD1F8
Device \Driver\usbuhci \Device\USBPDO-3 86DCD1F8
Device \Driver\PCI_PNP9596 \Device\00000047 spzg.sys
Device \Driver\PCI_PNP9596 \Device\00000047 spzg.sys
Device \Driver\usbehci \Device\USBPDO-4 86D991F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 86F681F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 86F681F8
Device \Driver\Cdrom \Device\CdRom0 86D691F8
Device \Driver\Cdrom \Device\CdRom1 86D691F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 86F681F8
Device \Driver\Ftdisk \Device\HarddiskVolume4 86F681F8
Device \Driver\usbstor \Device\00000076 868DC1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 868891F8
Device \Driver\NetBT \Device\NetbiosSmb 868891F8
Device \Driver\usbstor \Device\00000079 868DC1F8
Device \Driver\usbuhci \Device\USBFDO-0 86DCD1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{9A4D90F4-A662-4D95-BCAE-E9AB26003472} 868891F8
Device \Driver\usbuhci \Device\USBFDO-1 86DCD1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86879500
Device \Driver\usbuhci \Device\USBFDO-2 86DCD1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86879500
Device \Driver\usbuhci \Device\USBFDO-3 86DCD1F8
Device \Driver\sptd \Device\110709596 spzg.sys
Device \Driver\usbehci \Device\USBFDO-4 86D991F8
Device \Driver\Ftdisk \Device\FtControl 86F681F8
Device \Driver\aoyfvfud \Device\Scsi\aoyfvfud1 86CFC1F8
Device \FileSystem\Fastfat \Fat 86D641F8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 868B1500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011b107a235
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011b107a235@00254857e6b8 0x06 0x0C 0xBA 0x5B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011b107a235@001e3a288949 0xA3 0x1C 0x02 0x9E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 52\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x76 0x7B 0x62 0xCB ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 52\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x76 0x7B 0x62 0xCB ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011b107a235
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011b107a235@00254857e6b8 0x06 0x0C 0xBA 0x5B ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011b107a235@001e3a288949 0xA3 0x1C 0x02 0x9E ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 52\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x76 0x7B 0x62 0xCB ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

---- EOF - GMER 1.0.15 ----

Das tool zeigt nichts an mit[*]Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

wie soll ich jetzt weitermachen?

Würde mich sehr über Hilfe freuen. Danke im vorraus.

Gruß the_sunics

weti · 12.07.2009, 17:01

Moin, moin,

ich glaube auch, dass die Fehlermeldungen false waren und der Rechner sauber ist. Lediglich TuneUp für das Fehlverhalten der Browser verwantwortlich war.

Nichts destotrotz bleibt natürlich eine kleine Unsicherheit und ich denke, dass ich den Rechner beu aufsetzen werde.

Vielen Dank für deine Hilfe

bis denne (wie wir in OWL zu sagen pflegen )
werner

09.07.2009, 22:51	#20
undoreal /// AVZ-Toolkit Guru	Sehr langsame Ladezeiten in Firefox, Opera und IE Die Dateien sind soweit sauber. Auf welchem Schlauch stehst du? Wie sehen die Ladezeiten aus? PandaScan läuft noch ne Weile.... macht nichts. Dann morgen weiter. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

Sehr langsame Ladezeiten in Firefox, Opera und IE

Log-Analyse und Auswertung: Sehr langsame Ladezeiten in Firefox, Opera und IE