| |
| |||||||
Log-Analyse und Auswertung: PC arbeitet ständig, anti-malware hängt sich aufWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
11.07.2009, 19:37
| #1 |
 |  PC arbeitet ständig, anti-malware hängt sich auf halli hallo, nun schon zum 2. mal heute. diesmal geht es um den pc meines vaters. er braucht ewig lange um sich hoch, bzw. runterzufahren und hängt verschieden programme einfach auf, die Anti-Malware prüfung läuft nicht, er "arbeitet" ständig, einfaches öffnen von ordnern gestaltet sich zur minuten-sache. haben es schon mit einem registry-booster von microsoft probiert, ohne erfolg. könnte sich jemand bitte den hijack anschauen? Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:24:34, on 11.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe C:\Programme\Winamp\winampa.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\Profiler\lwemon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\TomTom HOME 2\HOMERunner.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe C:\Programme\FRITZ!\IWatch.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\WINDOWS\System32\svchost.exe C:\Programme\UPHClean\uphclean.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\HiJackThis.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.gmx.net/home R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.gmx.net/home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://go.gmx.net/suchbox/gmxsuche?su=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von GMX O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Engine\16.5.0.134\IPSBHO.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O2 - BHO: GMX Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe" O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" -"hxxp://www.mokitown.de/moki_0_content.html" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: abylonsoft Module aktivieren.lnk = C:\Programme\abylonsoft\SAWipe\SAWipe.EXE O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - hxxp://213.200.64.229/freestream/download/energy/sachsen/p2p/Rawflow.cab O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - hxxp://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - hxxp://www.symantec.com/techsupp/asa/ctrl/SymAData.cab O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - hxxp://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - hxxp://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - hxxp://www.schueler.cc/uploader/ImageUploader5.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - hxxp://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - hxxps://webdl.symantec.com/activex/symdlmgr.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1204327486250 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxxp://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1 O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} - hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hxxp://www.schueler.cc/uploader/ImageUploader5.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game07.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - hxxp://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{64DD2592-AAB1-4009-BF0C-EDDDAEEBEE13}: NameServer = 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{9928DC87-B89D-4181-A58C-9DE8481D935C}: NameServer = 217.237.149.205 217.237.151.51 O17 - HKLM\System\CCS\Services\Tcpip\..\{BF911D8D-9578-420D-B62D-93FDF675951E}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing) O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- End of file - 13216 bytes  viele grüße, stephanie |
|
11.07.2009, 20:07
| #2 |
| /// Selecta Jahrusso   | PC arbeitet ständig, anti-malware hängt sich auf Bei dir sind Spuren eines Silent Banker zu finden  Bitte ändere als erstes alle Zugangs Passwörter Wurde Online Banking betrieben? dann das Konto in den nächsten Wochen genau im auge behalten Ich kann versuchen dies zu bereinigen, eine garantie kann ich Dir nicht geben 1.
2. Wende bitte Gmer wie beschrieben an
__________________ |
|
11.07.2009, 23:50
| #3 |
| | PC arbeitet ständig, anti-malware hängt sich auf alle passwörter?
__________________ ... die texte sind zu lang, deshalb werd ich sie anhängen...hier die log, die info und das ergebnis von gmer... lg und gute nacht. |
|
12.07.2009, 09:43
| #4 |
| /// Selecta Jahrusso | PC arbeitet ständig, anti-malware hängt sich auf Ja alle Wurde schon eigene Reinigunsversuche unternommen ? Wenn ja poste mir noch vorhandene Logfiles 1. downloade Dir bitte Java Update 14 Deinstalliere nun J2SE Runtime Environment 5.0 Update 10 J2SE Runtime Environment 5.0 Update 11 J2SE Runtime Environment 5.0 Update 4 J2SE Runtime Environment 5.0 Update 5 J2SE Runtime Environment 5.0 Update 6 Java 2 Runtime Environment SE v1.4.2_04 Java 2 Runtime Environment SE v1.4.2_07 Java(TM) 6 Update 13 Java(TM) 6 Update 2 Java(TM) 6 Update 3 Java(TM) 6 Update 7 Spybot Bonjour Installiere nun Java Update 14 2. Bei dir läuft Boonty Games Bitte gehe wie folgt vor Schliesse alle offenen Programme Start >> ausführen >> cmd (Hineinschreiben) OK gib nun bitte folgendes in das DOS Fenster ein sc stop Boonty Games --> Enter sc delete Boonty Games--> Enter Starte den Rechner neu auf 3. Poste mir bitte die letzte Logfile von Malwarebytes Starte Malwarebytes--> Scan Berichte--> letzte Logfile (ganz oben) kopieren posten Lass Malwarebytes noch einmal durchlaufen 4. Bitte lade Registry Search.zip runter und speichere es auf deinem Desktop.
5. Lösche unter C:\rsit\ die log.txt und info.txt starte RSIT erneut und poste mir die Logfiles
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
12.07.2009, 11:01
| #5 |
| | PC arbeitet ständig, anti-malware hängt sich auf also... ein paar sachen haben nicht geklappt, aber nun mal zu den punkten: 1. erledigt 2. das funktioniert nicht: er meint boonty games sei nicht installiert. 3. wie ich zu anfang schon geschrieben hatte läuft Malwarebytes nicht durch. habe es gestern heruntergeladen und bisher schon drei versuche gestartet, aber nach einer stunde hat sich das ganze immer aufgehangen. ich versuchs nochmal. 4. + 5.: done. mit den anhängen hab ich grad noch probleme... die log und die info sind erstmal dabei und der hijack... der scan von der registry mechanic folgt noch... |
|
12.07.2009, 11:05
| #6 |
| | PC arbeitet ständig, anti-malware hängt sich auf so, jetzt hats geklappt... musste die datei teilen da sie zu groß war. lg |
|
12.07.2009, 11:24
| #7 |
| /// Selecta Jahrusso | PC arbeitet ständig, anti-malware hängt sich auf Bitte jeden Punkt der Reihe nach abarbeiten bei Problemen teile mir diese bitte mit, bevor Du weiter machst anders bringen mir die Logfiles nichts bitte teile mir mit ob Malwarebytes durchgelaufen ist und die logfile von regsearch brauche ich noch
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
12.07.2009, 13:01
| #8 |
| | PC arbeitet ständig, anti-malware hängt sich auf malwarebytes hat sich nach 1,5 stunden und keinem fund aufgehängt. die log des regsearch sieht nach zweimaligem aufhängen wie folgt aus: Code:
ATTFilter Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0
; Results at 12.07.2009 13:57:43 for strings:
; 'lsd_f3'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\f3dsl]
; Contents of value:
; lsd_f3.dll
"DllName"=hex(2):6c,00,73,00,64,00,5f,00,66,00,33,00,2e,00,64,00,6c,00,6c,00,\
00,00
"Startup"="LSD_F3"
; End Of The Log...
|
|
12.07.2009, 13:43
| #9 |
| /// Selecta Jahrusso | PC arbeitet ständig, anti-malware hängt sich auf Schliesse alle Programme start >> ausführen >> cleanmgr (hinein schreiben) >> OK 2. start >> ausführen >> %temp% (hinein schreiben) >> Lösche nur den Inhalt, nicht den Ordner selber Temp die noch verwendet werden, können nicht gelöscht werden 3. Starte HJT >> do a scan only >> setze ein häckchen bei Code:
ATTFilter O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)
4. Starte HJT >> Config >> delete an NT Service Boonty Games hineinschreiben OK Starte den Rechner erneut 5. http://www.trojaner-board.de/51871-a...tispyware.html 6. http://www.trojaner-board.de/59299-a...eb-cureit.html Poste alle Logfiles und ein neues HJT log
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
12.07.2009, 20:40
| #10 |
| | PC arbeitet ständig, anti-malware hängt sich auf so, also es hat alles soweit funktioniert... hier das ergebnis vom antispyware scan Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 07/12/2009 at 05:21 PM
Application Version : 4.26.1006
Core Rules Database Version : 3988
Trace Rules Database Version: 1928
Scan type : Complete Scan
Total Scan Time : 01:43:51
Memory items scanned : 623
Memory threats detected : 0
Registry items scanned : 6166
Registry threats detected : 5
File items scanned : 100983
File threats detected : 0
Registry Cleaner Trial
HKCR\Install.Install
HKCR\Install.Install\CLSID
HKCR\Install.Install\CurVer
HKCR\Install.Install.1
HKCR\Install.Install.1\CLSID
Code:
ATTFilter 24hbildexpress_FotobuchClient.exe\data056;C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\24hbildexpress_FotobuchClient.exe;Trojan.Siggen.2725;;
24hbildexpress_FotobuchClient.exe/data446\data003;C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\24hbildexpress_FotobuchClient.exe/data446;Trojan.Siggen.2725;;
data446;C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner;Archiv enthält infizierte Objekte;;
24hbildexpress_FotobuchClient.exe;C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner;Archiv enthält infizierte Objekte;Verschoben.;
eMule44b-v16-webcache.exe\data002;C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder\Eigene Bilder\Familie\eMule44b-v16-webcache.exe;BackDoor.Emule.44;;
eMule44b-v16-webcache.exe;C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder\Eigene Bilder\Familie;Archiv enthält infizierte Objekte;Verschoben.;
slghex.dll;C:\Programme\Gemeinsame Dateien\Sandlot Shared;Adware.SpywareStorm;Verschoben.;
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:32:43, on 12.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe C:\Programme\Winamp\winampa.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\Profiler\lwemon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\TomTom HOME 2\HOMERunner.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\WINDOWS\System32\svchost.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\UPHClean\uphclean.exe C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\SSUPDATE.EXE C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://go.gmx.net/suchbox/gmxsuche?su=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von GMX O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Engine\16.5.0.134\IPSBHO.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O2 - BHO: GMX Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe" O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" -"http://www.mokitown.de/moki_0_content.html" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: abylonsoft Module aktivieren.lnk = C:\Programme\abylonsoft\SAWipe\SAWipe.EXE O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://213.200.64.229/freestream/download/energy/sachsen/p2p/Rawflow.cab O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.schueler.cc/uploader/ImageUploader5.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1204327486250 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1 O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://www.schueler.cc/uploader/ImageUploader5.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - http://game07.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{64DD2592-AAB1-4009-BF0C-EDDDAEEBEE13}: NameServer = 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{BF911D8D-9578-420D-B62D-93FDF675951E}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- End of file - 12451 bytes |
|
15.07.2009, 13:59
| #11 | |
| /// Selecta Jahrusso | PC arbeitet ständig, anti-malware hängt sich aufZitat:
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
16.07.2009, 13:25
| #12 | |
| | PC arbeitet ständig, anti-malware hängt sich aufZitat:
 also das musst du dazu sagen, dass ich immer alles auch aus den vorherigen nachrichten erledigen muss, das kann ich doch nich wissen die ganzen letzten dinge hab ich nämlich brav erledigt... nagut, der RSIT folgt morgen. lg |
|
17.07.2009, 13:06
| #13 |
| /// Selecta Jahrusso | PC arbeitet ständig, anti-malware hängt sich auf Sorry  war mein Fehler Ja bitte eine neue RSIT Logfile posten. 2. Wende bitte Gmer wie beschrieben an. Auch diese Logfile bitte posten
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
17.07.2009, 19:28
| #14 |
| | PC arbeitet ständig, anti-malware hängt sich auf ja, kein ding hier ist der GMER log Code:
ATTFilter GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-17 20:15:12
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT 8987DC70 ZwAlertResumeThread
SSDT 89881C70 ZwAlertThread
SSDT 8992C588 ZwAllocateVirtualMemory
SSDT 898C8C70 ZwAssignProcessToJobObject
SSDT 8999C9A8 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xA9BE7040]
SSDT 89BB6AE0 ZwCreateMutant
SSDT 898DB0D8 ZwCreateSymbolicLinkObject
SSDT 89921E18 ZwCreateThread
SSDT 89865248 ZwDebugActiveProcess
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xA9BE72C0]
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xA9BE7820]
SSDT 8992E920 ZwDuplicateObject
SSDT 898AB2B8 ZwFreeVirtualMemory
SSDT 89877948 ZwImpersonateAnonymousToken
SSDT 898796E0 ZwImpersonateThread
SSDT 8989F730 ZwLoadDriver
SSDT 898AAA80 ZwMapViewOfSection
SSDT 89892A68 ZwOpenEvent
SSDT 8992DDA8 ZwOpenProcess
SSDT 89918108 ZwOpenProcessToken
SSDT 898A5E08 ZwOpenSection
SSDT 89954650 ZwOpenThread
SSDT 8993DC08 ZwProtectVirtualMemory
SSDT 89BDDB28 ZwResumeThread
SSDT 8989F7B0 ZwSetContextThread
SSDT 89935DA8 ZwSetInformationProcess
SSDT 898A2C70 ZwSetSystemInformation
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xA9BE7A70]
SSDT 8986DB78 ZwSuspendProcess
SSDT 89872E08 ZwSuspendThread
SSDT 899291A8 ZwTerminateProcess
SSDT 898B0C70 ZwTerminateThread
SSDT \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys ZwUnloadKey [0xA6E3D6D0]
SSDT 8992D108 ZwUnmapViewOfSection
SSDT 898AEC30 ZwWriteVirtualMemory
INT 0x01 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F69BF541
INT 0x03 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F69BF5E7
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!ZwYieldExecution + 186 804E49C0 4 Bytes JMP B497D357
? SYMEFA.SYS Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\Drivers\uphcleanhlp.sys Das System kann die angegebene Datei nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\SearchIndexer.exe[1088] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
---- EOF - GMER 1.0.15 ----
hoffe dass jetz alles beisammen ist. lg |
|
18.07.2009, 12:44
| #15 |
| /// Selecta Jahrusso | PC arbeitet ständig, anti-malware hängt sich auf Hy Ich habe gerade folgendes gesehen Code:
ATTFilter eMule44b-v16-webcache.exe\data002;C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder\Eigene Bilder\Familie\eMule44b-v16-webcache.exe;BackDoor.Emule.44
bitte lesen Es ist an den Logfiles nichts mehr zu sehen.Ob alles weg ist kann ich Dir bei solch Funden nicht garantieren. Ich empfehle generell bei Backdoors ein Neu aufsetzen Hier steht WARUM Bitte ändere auf jeden Fall von einem sauberen Rechner alle Zugangspasswörter Wenn Du mit der Reinigung trotz Restrisiken fortfahren möchtest. 1. Deinstalliere Malwarebytes Downloade es Dir von einem dieser Downloadspiegel Malwarebytes MajorGeeks.com Wenn es nicht läuft stoppe bitte und gebe mir bescheid 2. Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
| Themen zu PC arbeitet ständig, anti-malware hängt sich auf |
| adobe, antivirus, aufgehängt, besitzer, bho, bonjour, browser, browser update, desktop, dsl, einstellungen, excel, explorer, google, hijack, hijackthis, hkus\s-1-5-18, home, hängt, hängt sich auf, internet, internet explorer, intrusion prevention, launch, logfile, malwarebytes' anti-malware, ordner, plug-in, programme, software, symantec, system, thomas, windows, windows internet, windows internet explorer, windows xp |
Linear-Darstellung
