HijackThis Scan auswertung

Sanguinius · 01.09.2009, 20:14

Nabend erstmal,
hätte ein paar kleinere Problemchen...

Seit 2 Tagen lässt sich mein Antivir nicht mehr aktivieren und seit gestern ist meine Auflösung jedes mal auf 1600x1200 statt den eingestellten 1920x1200

OS Vista Ultimate x64

Malwarebytes ist vorhin drübergelaufen, hat nichts gefunden.

Hier der HijackThis-Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:03:48, on 01.09.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\ASUS\AI Direct Link\AsCmd.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files (x86)\ASUS\AASP\1.00.64\aaCenter.exe
C:\Program Files (x86)\ASUS\AI Direct Link\AsShare.exe
C:\Program Files (x86)\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\mIRC\mirc.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\program files (x86)\avira\antivir desktop\avcenter.exe
C:\Users\***\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files (x86)\FlashGet\jccatch.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files (x86)\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: My_AutoWarkey_Script.lnk = C:\Program Files (x86)\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
O8 - Extra context menu item: &Download All with FlashGet - D:\Program Files (x86)\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - D:\Program Files (x86)\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files (x86)\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ6.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ6.5\ICQ.exe (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - h**p://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: 57xx SteelVine (57xx SteelVine Manager) - Unknown owner - C:\Program Files (x86)\ASUS\Drive Xpert\SteelVine.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9b3d63737696) (gupdate1c9b3d63737696) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IndieVolume Service (IndieVolumeService) - Unknown owner - C:\Program Files (x86)\IndieVolume\IndieVolume.SVC.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\SysWOW64\PSIService.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9344 bytes

undoreal · 02.09.2009, 17:50

Hallöle.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

C:\Program Files (x86)\IndieVolume\IndieVolume.SVC.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

ESET SysInspector logfile

Bevor es losgeht lege dir bitte auf dem Desktop einen Ordner an den du ESET SysInspector nennst. Alle Dateien die zu dem Inspector gehören landen bitte ausschließlich in diesem Hauptordner!
Downloade dir den Inspector hier: https://www.eset.de/download/vollversionen#esi und speichere ihn in dem eben angelegten Hauptordner ab.
Doppelklicke die SysInspector.exe und akzeptiere die EULA. Diese werden zum späteren Durchlesen im Hauptordner gespeichert.
Der SysInspector untersucht nun dein System. Das kann je nach Rechnerleistung mehrere Minuten dauern.
Nachdem der Scan beendet ist öffnet sich das Hauptfenster. Spiele dort bitte nicht herum sondern lasse mich die Auswertung übernehmen!
Speichere dafür das log ab indem du oben rechts auf Datei > Log speichern klickst. Speichere das logfile in dem von dir erstelltem Hauptordner.

.
Im Hauptordner findest du nun eine "SysInspector-*dein PC Name*-Nummer.zip" Datei. Diese lädst du bitte bei rapidshare hoch und postest mir den Downloadlink per PN.
Auf Basis dieses logfile erstelle ich dir eine DienstSkript Datei die ich hier im Forum an meinen nächsten Post anhängen werde.

Sanguinius · 03.09.2009, 21:46

Sorry für die verspätete Antwort;

Hier mal die Ergebnisse von VirusTotal

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.24	2009.09.03	-
AhnLab-V3	5.0.0.2	2009.09.03	-
AntiVir	7.9.1.8	2009.09.03	-
Antiy-AVL	2.0.3.7	2009.09.03	-
Authentium	5.1.2.4	2009.09.03	-
Avast	4.8.1335.0	2009.09.03	-
AVG	8.5.0.409	2009.09.03	-
BitDefender	7.2	2009.09.03	-
CAT-QuickHeal	10.00	2009.09.02	-
ClamAV	0.94.1	2009.09.03	-
Comodo	2196	2009.09.03	Heur.Suspicious
DrWeb	5.0.0.12182	2009.09.03	-
eSafe	7.0.17.0	2009.09.03	-
eTrust-Vet	31.6.6718	2009.09.03	-
F-Prot	4.5.1.85	2009.09.03	-
F-Secure	8.0.14470.0	2009.09.03	-
Fortinet	3.120.0.0	2009.09.03	-
GData	19	2009.09.03	-
Ikarus	T3.1.1.72.0	2009.09.03	-
Jiangmin	11.0.800	2009.09.03	-
K7AntiVirus	7.10.835	2009.09.03	-
Kaspersky	7.0.0.125	2009.09.03	-
McAfee	5730	2009.09.03	-
McAfee+Artemis	5730	2009.09.03	-
McAfee-GW-Edition	6.8.5	2009.09.03	Heuristic.BehavesLike.Win32.Downloader.H
Microsoft	1.5005	2009.09.03	-
NOD32	4392	2009.09.03	-
Norman	6.01.09	2009.09.03	-
nProtect	2009.1.8.0	2009.09.03	-
Panda	10.0.2.2	2009.09.03	-
PCTools	4.4.2.0	2009.09.03	-
Prevx	3.0	2009.09.03	-
Rising	21.45.14.00	2009.09.01	-
Sophos	4.45.0	2009.09.03	-
Sunbelt	3.2.1858.2	2009.09.03	-
Symantec	1.4.4.12	2009.09.03	-
TheHacker	6.3.4.3.396	2009.09.03	-
TrendMicro	8.950.0.1094	2009.09.03	-
VBA32	3.12.10.10	2009.09.03	-
ViRobot	2009.9.3.1916	2009.09.03	-
VirusBuster	4.6.5.0	2009.09.03	-

weitere Informationen
File size: 133120 bytes
MD5...: 34ffa2cdedfabf02cc784c5bef8ac813
SHA1..: 49ad14a99611081d3381c5aff71e139092b04b80
SHA256: f018c7f9f909ec918ccbabd61ac78227978d7a4e792719049ea261ab772c0969
ssdeep: 3072:JkTxRtueXYhDM5o4kmJZPAO7hu5BwU0ufZ2wd3/La+HT:JkTNueX/oXmgOE
HPLa+H
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1d12c
timedatestamp.....: 0x49fdb08f (Sun May 03 14:56:15 2009)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ba3c 0x1bc00 6.56 add12ab60bf485caa7367c4a98021f12
.itext 0x1d000 0x158 0x200 4.45 7a28d006888d2f545ac5a83f911644ba
.data 0x1e000 0x1974 0x1a00 3.89 7b671431c43c8a06bdb0c9d9192a6662
.bss 0x20000 0x2aec 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x23000 0x10ea 0x1200 4.85 7eeb5159738e8d9034b7c5e7add7dcc3
.tls 0x25000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x26000 0x18 0x200 0.21 84273e24b5614ab9689e785a18e39538
.reloc 0x27000 0x13d4 0x1400 6.73 6cb0a28075bbaefda8cc958b8ce22b7e
.rsrc 0x29000 0x400 0x400 4.75 d96481d111633b2c93fefd71fcf826dc

( 10 imports )
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> user32.dll: GetKeyboardType, DestroyWindow, MessageBoxA
> kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetCurrentThreadId, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, GetStartupInfoA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> user32.dll: MessageBoxA, GetSystemMetrics
> kernel32.dll: lstrlenW, lstrlenA, lstrcpyW, lstrcpyA, lstrcmpiW, lstrcmpiA, lstrcmpA, lstrcatW, WriteProcessMemory, WriteFile, WaitForSingleObject, WaitForMultipleObjects, VirtualQueryEx, VirtualQuery, VirtualProtectEx, VirtualProtect, VirtualFree, VirtualAlloc, UnmapViewOfFile, TerminateThread, Sleep, SetThreadPriority, SetLastError, SetEvent, ReleaseSemaphore, ReleaseMutex, ReadProcessMemory, ReadFile, OpenProcess, OpenMutexW, OpenMutexA, OpenFileMappingW, OpenFileMappingA, OpenEventW, OpenEventA, MapViewOfFile, LocalFree, LocalAlloc, LoadLibraryExA, LoadLibraryW, LoadLibraryA, LeaveCriticalSection, IsBadReadPtr, InitializeCriticalSection, GetVersionExW, GetVersionExA, GetVersion, GetTickCount, GetThreadContext, GetTempPathW, GetSystemDirectoryW, GetSystemDirectoryA, GetProcAddress, GetModuleHandleW, GetModuleHandleA, GetModuleFileNameW, GetModuleFileNameA, GetLastError, GetFileSize, GetFileAttributesW, GetFileAttributesA, GetExitCodeThread, GetCurrentThreadId, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, GetCurrentDirectoryW, GetCurrentDirectoryA, InterlockedExchange, FreeLibrary, FormatMessageA, EnterCriticalSection, DuplicateHandle, DeleteFileW, DeleteCriticalSection, CreateThread, CreateSemaphoreA, CreatePipe, CreateMutexW, CreateMutexA, CreateFileMappingW, CreateFileMappingA, CreateFileW, CreateFileA, CreateEventW, CreateEventA, CloseHandle
> advapi32.dll: SetSecurityDescriptorDacl, RegSetValueExW, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA, IsValidSid, InitializeSecurityDescriptor, GetTokenInformation, GetLengthSid, FreeSid, EqualSid, AllocateAndInitializeSid, AdjustTokenPrivileges
> advapi32.dll: GetKernelObjectSecurity
> advapi32.dll: QueryServiceConfigA, ChangeServiceConfigA, CreateServiceA, StartServiceA, StartServiceCtrlDispatcherA, SetServiceStatus, RegisterServiceCtrlHandlerA, OpenServiceA, OpenSCManagerA, DeleteService, ControlService, CloseServiceHandle

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)

RapidShare-Link ist auch raus.

lg
Sanguinius

undoreal · 04.09.2009, 00:04

ESET SysInspector DienstSkript

Die von mir erhaltene DienstSkript.txt Datei speichere bitte im SysInspector Hauptordner ab.
Starte den SysInspector durch Doppelklicken der SysInspector.exe.
Wähle danach Datei > Dienst-Skript ausführen.

.
Wähle im Hauptordner die von mir erstellte DienstSkript.txt aus und bestätige die nachfolgende Anfrage ob das Skript ausgeführt werden soll.
Du wirst danach eine Warnung erhalten die besagt, dass das Skript keine Signatur besitzt. Das ist ganz normal und du kannst den Vorgang mit einem Klick auf Starten beginnen.
Nach Abschluss des Skripts solltest du eine Bestätigung erhalten, dass alles geklappt hat. Solltest du eine Meldung bekommen die anders lautet so schreibe sie bitte ab und poste sie hier.

.

Sanguinius · 05.09.2009, 01:36

undoreal · 05.09.2009, 10:50

Poste bitte ein frisches HijackThis log.

Sanguinius · 06.09.2009, 18:56

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:55:10, on 06.09.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\ASUS\AI Direct Link\AsCmd.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files (x86)\ASUS\AASP\1.00.64\aaCenter.exe
C:\Program Files (x86)\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
C:\Program Files (x86)\ASUS\AI Direct Link\AsShare.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\mIRC\mirc.exe
C:\Users\***\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files (x86)\FlashGet\jccatch.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files (x86)\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: My_AutoWarkey_Script.lnk = C:\Program Files (x86)\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
O8 - Extra context menu item: &Download All with FlashGet - D:\Program Files (x86)\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - D:\Program Files (x86)\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files (x86)\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ6.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ6.5\ICQ.exe (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - h**p://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: 57xx SteelVine (57xx SteelVine Manager) - Unknown owner - C:\Program Files (x86)\ASUS\Drive Xpert\SteelVine.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9b3d63737696) (gupdate1c9b3d63737696) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IndieVolume Service (IndieVolumeService) - Unknown owner - C:\Program Files (x86)\IndieVolume\IndieVolume.SVC.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\SysWOW64\PSIService.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9285 bytes

lg
Sanguinius

undoreal · 06.09.2009, 20:26

Fixe den Eintrag:

Zitat:

O23 - Service: IndieVolume Service (IndieVolumeService) - Unknown owner - C:\Program Files (x86)\IndieVolume\IndieVolume.SVC.exe

Überprüfe den Rechner danach mit Malwarebytes und poste das log.

Sanguinius · 07.09.2009, 16:00

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2722
Windows 6.0.6002 Service Pack 2

07.09.2009 16:59:14
mbam-log-2009-09-07 (16-59-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Durchsuchte Objekte: 455456
Laufzeit: 1 hour(s), 16 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

undoreal · 07.09.2009, 16:29

Das sieht doch gut aus. Irgendwelche Probleme am Rechner?

Sanguinius · 08.09.2009, 02:31

Naja eigentlich nur "Seit 2 Tagen lässt sich mein Antivir nicht mehr aktivieren und seit gestern ist meine Auflösung jedes mal auf 1600x1200 statt den eingestellten 1920x1200", scheint also nichts bösartiges zu sein, jedoch was dann? -_- vor allem das mit Antivir scheint mir äußert schleierhaft

undoreal · 08.09.2009, 09:00

Das sich AntiVir immer noch nicht aktivieren lässt ist ein Indiz für Malware Befall. Das Problem ist eigentlich nur, dass die Tools die wir normaler Weise nutzen nicht für 64bit Systeme programmiert sind. Daher muss ich hier mit dem SysInspector rumhadern...

GMER - Rootkit Detection

Lade GMER von hier
entpacke es auf den Dektop
Doppelklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Erstellung eines RootRepeal Reports

Downloade dir RootRepeal hier: http://ad13.geekstogo.com/RootRepeal.rar
Schließe alle AntiVirus Wächter die im Hintergrund arbeiten.
Entpacke das Archiv.
Starte die RootRepeal.exe als Administrator.
Wechsel in den Reiter <Report> der sich am unteren Rand des Programmfensters befindet.
Drücke danach den "Scan" Button. -> Setze alle Haken und drücke "oK".
Wähle die Festplatte aus auf der Windows installiert ist. (Normalerweise ist das C:\)
Nachdem der Scan beendet ist (das kann recht lange dauern) öffnet sich ein Fenster welches dir den Report zeigt. Speichere den Bericht (Datei->Speichern unter) und hänge die .txt Datei an deinen nächsten Post an.

Sanguinius · 08.09.2009, 14:14

Also GMER hat nichts gesagt, daher wohl Maleware?

Code:

ATTFilter

GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-09-08 15:09:59
Windows 6.0.6002 Service Pack 2


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                        
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                             C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                             0
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                          0xD4 0xA4 0x21 0x88 ...
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                               
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                    0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                 0x2D 0x9F 0x18 0x61 ...
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                         
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                           0x36 0x97 0x98 0x82 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                                          771343423
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                                          285507792
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                                          1
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                            
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                         C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                         0
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                      0xD4 0xA4 0x21 0x88 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                                   
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                             0x2D 0x9F 0x18 0x61 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                             
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                       0x94 0x56 0x19 0x47 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                        
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                             C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                             0
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                          0xD4 0xA4 0x21 0x88 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                               
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                    0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                 0x2D 0x9F 0x18 0x61 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                         
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                           0x94 0x56 0x19 0x47 ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A5B120A2-993F-6576-E171-96C506E1A16D}                             
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A5B120A2-993F-6576-E171-96C506E1A16D}@dalhmkgo                    0x64 0x62 0x6D 0x6A ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A5B120A2-993F-6576-E171-96C506E1A16D}@iailbemabioplpghni          0x6B 0x61 0x66 0x67 ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A5B120A2-993F-6576-E171-96C506E1A16D}@hakjlipoagbfgmec            0x6B 0x61 0x66 0x67 ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F5DCF4CB-3077-3DD1-6AA5-8CE4676CBBA2}                             
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F5DCF4CB-3077-3DD1-6AA5-8CE4676CBBA2}@lakpjknkodpigopmhecmafga    0x64 0x62 0x6C 0x6F ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F5DCF4CB-3077-3DD1-6AA5-8CE4676CBBA2}@maepambogbkookopheklcbefgj  0x64 0x61 0x6D 0x6F ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F5DCF4CB-3077-3DD1-6AA5-8CE4676CBBA2}@laepambogbkookopjeakjpnn    0x64 0x62 0x6C 0x6F ...

---- EOF - GMER 1.0.15 ----

Der Log von mbr.exe:

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

und RootRepeal geht nicht für 64-Bit Systeme

lg
Sanguinius

undoreal · 08.09.2009, 16:59

Das GMER log gefällt mir nicht.

Das könnten Deamon Tools Einträge sein aber genau sagen kann ich das nicht.

Antivirus Live-CD

1. Brennen und Starten der LiveCD:

Downloade dir dieses Archiv:

Code:

ATTFilter

http://qshare.com/get/866107/MultiAVBootCD.zip.html

Entpacke die Datei in einen eigenen Ordner. Das Passwort lautet: LiveCD2009
Brenne die entpackte .iso Datei mit einem Brennprogramm deiner Wahl. Kostenlos und gut ist zum Beispiel der CdBurnerXP
Lege die Cd ins Laufwerk ein und starte den Rechner neu. Er sollte nun von der CD booten und einen Auswahlbildschirm auf Italienisch anzeigen. Wenn der Rechner nicht von der CD bootet sondern ganz normal Windows startet musst du im BIOS den boot device ändern.(Google Hilft )

2. Datensicherung:

Wähle im Auswahlbildschirm die zweite Option (Menu antivirus) aus.
Im folgenden Auswahlbildschirm wähle den zweiten Eintrag (Avvio die GDATA) aus.
Das G-Data Rettungssystem startet nun.
Du wirst automatisch gefragt ob die Virus Signatures aktuallisiert werden sollen bestätige erst durch drücken des Si Buttons und danach mit Ok.
Warte bis das Update beendet ist (100%) und schließe das Fenster durch Klicken des Chiudi Buttons.
Danach kannst du das G-Data AntiVirus Fenster erstmal schließen.
Öffne den File Manager (Gestione file) durch drücken des Akten Zeichens in der Taskleiste.
Navigiere zu deinen Festplatten. Diese finden sich im Menü auf der Linken Seite unter Filesystem -> mnt
Stecke deinen USB-Stick oder deine externe Festplatte in einen freien USB-Slot.
Öffne den File Manager ein zweites mal und navigiere zu deinen USB-Stick. Dieser findet sich als letzter Eintrag im Menü des File Managers auf der Linken Seite.
Nun hast du zwei Fenster geöffnet zwischen denen du per Drag&Drop bzw. Copy&Paste Daten verschieben kannst.
Sichere deine wichtigen Dokumente. Allerdings so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben.
b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.
c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

3. Schädlingssuche:

Viele Rootkits verändern beim Windows Start ihren Namen. Daher ist es wichtig, dass während der folgenden Prozedur der Rechner nie das normale Windows Betriebssystem startet sondern immer von der LiveCD bootet. Solltest du mal nicht schnell genug die CD ins Laufwerk bekommen oder das BootMenü verpassen so drücke den Reset Knopf am Computer um zu verhindern, dass Windows gestartet wird.

G-DATA:

Starte nun die Schädlingssuche.
Anfallende Log/Bericht Dateien speichere unbedingt!!
Schreibe dir außerdem die Funde ab!!
Nachdem G-Data durch ist starte den Rechner neu.

F-Secure:

Boote wieder von der CD und mache mit F-Secure weiter (Avvio di F-Secure).
F-Secure updatet sich von alleine. Klicke dich durch die Dialoge und starte den Scan.
Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
Nachdem der Scan beendet ist starte den Rechner neu.

DrWeb:

Boote wieder von der CD und wähle (Avvio di DrWeb) aus.
Danach wähle den ersten Eintrag DrWeb-LiveCD aus.
Klicke im Hauptfenster unbedingt den grünen Button (Update Bases)!
Danach starte den Scan durch drücken des Start Buttons.
Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
Nachdem der Scan beendet ist starte den Rechner neu.

Kaspersky:

Boote wieder von der CD und wähle (Avvio di kaspersky) aus.
Danach wähle den ersten Eintrag rescue aus.
Kasperksy09 startet. Das Update sollte automatisch starten. Wechsel in den Update Reiter und stelle sicher, dass das Update durchgeführt wird. Startet das Update nicht so starte es bitte manuell. Warte bis das Update beendet wurde und die Siganturen aktuell sind.
Setze unter Settings -> Scan: den Haken bei All Archives.
Wähle unter Settings -> Threads and Exclusions -> Settings: alle Bedrohungen aus. Einen Haken musst du selber für "other Programms" setzen.
Wähle dann im Hauptfenster alle deine Festplatten sowie die Laufwerksbootsektoren aus (einfach alles auswählen!) und starte den Scan.
Ist der Scan beendet rufe das log auf und speichere es.
Schreibe dir außerdem wie immer alle Funde auf ein Blatt Papier ab!!

Alle Log/Bericht Dateien sowie die abgeschriebenen Funde packe bitte per G-Data Rettungssystem wie oben beschrieben auf einen USB-Stick und poste sie uns. Dazu musst du einen anderen PC benutzen da du den infizierten Rechner wie gesagt nur über die Live CD booten darfst bis du von uns andere Anweisungen bekommst.
Solltest du keinen anderen PC zur Verfügung haben bietet das DrWeb Live System einen integrierten FireFox an. Du kannst also von der DrWeb-LiveCD booten, FireFox aufrufen, das Trojaner-Board besuchen und uns die Funde posten.

Sanguinius · 08.09.2009, 21:22

Glaub das muss ich erstmal auf übermorgen bzw. Wochenende verschieben, da ich nur den (und halt nen uralten Pentium II rumstehen) besitze und ich noch paar wichtige Dinge erledigen muss :-(

05.09.2009, 10:50	#6
undoreal /// AVZ-Toolkit Guru	HijackThis Scan auswertung Poste bitte ein frisches HijackThis log. __________________ --> HijackThis Scan auswertung

07.09.2009, 16:29	#10
undoreal /// AVZ-Toolkit Guru	HijackThis Scan auswertung Das sieht doch gut aus. Irgendwelche Probleme am Rechner? __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

HijackThis Scan auswertung

Log-Analyse und Auswertung: HijackThis Scan auswertung