Zunächst mal Herzlichen Dank für die Möglichkeit, das hier einzustellen:

Programme laufen zunächst immer langsamer, Lüfter aber volle Kanne und das Ding lässt sich manchmal nicht mehr ausschalten - so, als ob noch jemand anders damit arbeiten würde. Antivir und Spybot negativ, in der Ereignisanzeige dauert es Minuten, bis die Einträge mal sortiert sind. Häufigster dort: irgendwas mit CAPI 11 und 12, über das MS selber nicht genau bescheid weiß.

GMER zeigt an:

[Code/]
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-22 12:26:46
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\***\AppData\Local\Temp\pftdqpob.sys


---- System - GMER 1.0.15 ----

SSDT 950B3C9C ZwCreateThread
SSDT 950B3C88 ZwOpenProcess
SSDT 950B3C8D ZwOpenThread
SSDT 950B3C97 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 221 820B1964 4 Bytes [9C, 3C, 0B, 95] {PUSHF ; CMP AL, 0xb; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 3F1 820B1B34 4 Bytes [88, 3C, 0B, 95] {MOV [EBX+ECX], BH; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 40D 820B1B50 4 Bytes [8D, 3C, 0B, 95] {LEA EDI, [EBX+ECX]; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 621 820B1D64 4 Bytes [97, 3C, 0B, 95] {XCHG EDI, EAX; CMP AL, 0xb; XCHG EBP, EAX}
.reloc C:\Windows\system32\drivers\acehlp09.sys section is executable [0x8CDC2780, 0x28F7A, 0xE0000060]
.reloc C:\Windows\system32\drivers\acedrv09.sys section is executable [0x99468000, 0x4E05A, 0xE0000060]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018f337f16b
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018f337f16b (not active ControlSet)

---- EOF - GMER 1.0.15 ----


Ist da was dran? Nach 90 Min. googlen könnte es sein oder auch nicht

Wäre nett, wenn jemand sich der Frage annehmen könnte.

VG Monogram

PS. Vista-CD etc. ist hier nirgends.

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hi, vielen Dank erstmal für die Hinweise. Die habe ich partiell schon vorher abgearbeitet. Avira, Spybot, CCCleaner negativ. Die Logs von Malwarebytes und RSIT stehen hier: http://www.file-upload.net/download-...Laura.zip.html. Hauptproblem ist, dass das Ding manchmal so langsam ist, dass es nicht mal seine eigene Ereignisanzeige sortieren kann - manchmal läufts auch einigermassen, aber irgendwie bleibt der Eindruck fremder Aktivität. Vielen Dank und Viele Grüße Monogram

Zitat:

O4 - Global Startup: z1info.exe

Bitte die Datei z1info ausfindig machen (wahrscheinlich liegt sie hier => C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\z1info.exe) und bei Virustotal.com auswerten lassen. Bitte den Ergebnislink posten.

z1info ist nur das residuum einer abrechnungssoftware - demo. Wenn die das ist, wärs ein Brüller. Ansonsten mache ich es gleich. Danke Monogram

Ergebnis 0/41. Die hätte man aber längst mal löschen können

Code: Alles auswählenAufklappen

ATTFilter

 Datei z1info.exe empfangen 2009.12.23 12:14:26 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.43	2009.12.23	-
AhnLab-V3	5.0.0.2	2009.12.23	-
AntiVir	7.9.1.122	2009.12.23	-
Antiy-AVL	2.0.3.7	2009.12.23	-
Authentium	5.2.0.5	2009.12.23	-
Avast	4.8.1351.0	2009.12.23	-
AVG	8.5.0.430	2009.12.23	-
BitDefender	7.2	2009.12.23	-
CAT-QuickHeal	10.00	2009.12.23	-
ClamAV	0.94.1	2009.12.22	-
Comodo	3340	2009.12.23	-
DrWeb	5.0.1.12222	2009.12.23	-
eSafe	7.0.17.0	2009.12.22	-
eTrust-Vet	35.1.7193	2009.12.23	-
F-Prot	4.5.1.85	2009.12.22	-
F-Secure	9.0.15370.0	2009.12.23	-
Fortinet	4.0.14.0	2009.12.22	-
GData	19	2009.12.23	-
Ikarus	T3.1.1.79.0	2009.12.23	-
Jiangmin	13.0.900	2009.12.23	-
K7AntiVirus	7.10.926	2009.12.22	-
Kaspersky	7.0.0.125	2009.12.23	-
McAfee	5840	2009.12.22	-
McAfee+Artemis	5840	2009.12.22	-
McAfee-GW-Edition	6.8.5	2009.12.23	-
Microsoft	1.5302	2009.12.23	-
NOD32	4711	2009.12.23	-
Norman	6.04.03	2009.12.23	-
nProtect	2009.1.8.0	2009.12.23	-
Panda	10.0.2.2	2009.12.15	-
PCTools	7.0.3.5	2009.12.23	-
Prevx	3.0	2009.12.23	-
Rising	22.27.02.02	2009.12.23	-
Sophos	4.49.0	2009.12.23	-
Sunbelt	3.2.1858.2	2009.12.23	-
Symantec	1.4.4.12	2009.12.23	-
TheHacker	6.5.0.3.108	2009.12.23	-
TrendMicro	9.120.0.1004	2009.12.23	-
VBA32	3.12.12.0	2009.12.23	-
ViRobot	2009.12.23.2105	2009.12.23	-
VirusBuster	5.0.21.0	2009.12.22	-
weitere Informationen
File size: 405504 bytes
MD5...: 8db8e839f205e8a538726ad2a56513fb
SHA1..: 6a0455f34a78b53ebbe6cbdd90c4c9e91c4adf47
SHA256: 44ef6d567669a4f6afa89173d73cb6f3d99df2401b6ee406feb0ce9017c973fc
ssdeep: 3072:irnXmXVo2mf7IUm5S7v1rhII9V3TPNospm9:i7efc7IUmI7v1rhII9V3zNo
spm9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2230
timedatestamp.....: 0x4545b635 (Mon Oct 30 08:22:13 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5a17 0x6000 6.40 75f982d7f6095d25a6ca3b36a6e880e2
.rdata 0x7000 0xd1c 0x1000 4.76 268949c4d01daebde42c3f894db95070
.data 0x8000 0x43c0 0x3000 1.11 e2aec0d9a1d3772aa21f300b4f62915a
.rsrc 0xd000 0x576c0 0x58000 4.90 6b7388fefe3aa40c421355947305e1d2

( 5 imports )
> KERNEL32.dll: SetFilePointer, GetLastError, GetStringTypeW, SetStdHandle, GetCPInfo, GetACP, GetOEMCP, RtlUnwind, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, LoadLibraryA, FlushFileBuffers, LCMapStringA, LCMapStringW, GetStringTypeA, MultiByteToWideChar, GetEnvironmentStrings, WriteFile, GetModuleHandleA, CloseHandle, GetProcAddress, GetCurrentProcess, ExpandEnvironmentStringsA, GetVersionExA, GetModuleFileNameA, GetEnvironmentVariableA, GetSystemInfo, HeapDestroy, FreeEnvironmentStringsW, FreeEnvironmentStringsA, HeapFree, HeapAlloc, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, VirtualAlloc, WideCharToMultiByte, HeapCreate, VirtualFree, TerminateProcess, HeapReAlloc, UnhandledExceptionFilter
> USER32.dll: LoadIconA, SendMessageA, PostQuitMessage, LoadBitmapA, BeginPaint, DrawTextA, EndPaint, InvalidateRect, DefWindowProcA, MessageBoxA, LoadCursorA, RegisterClassA, GetSystemMetrics, CreateWindowExA, ShowWindow, UpdateWindow, GetMessageA, TranslateMessage, DispatchMessageA
> GDI32.dll: SetTextColor, CreateFontIndirectA, SetBkMode, DeleteObject, SelectObject, BitBlt, CreateCompatibleDC, DeleteDC
> ADVAPI32.dll: RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey
> SHELL32.dll: ShellExecuteA, FindExecutableA, SHGetMalloc, SHGetSpecialFolderLocation, SHGetPathFromIDListA

( 0 exports )
RDS...: NSRL Reference Data Set
-
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
         

Lösch die Datei, wenn Du sie nicht mehr brauchst. Die steht im globalen Autostart drin.

Ist gelöscht, Performance nach Neustart unverändert ... schlecht

Kannst Du im Taskmanager oder Process Explorer nachsehen, welcher Prozess die Auslastung verursacht?

Wenn es an das Sortieren der Ereignisanzeige geht, mmc.exe. Im Task-Manager standen immer die üblichen Kandidaten, aber ich dachte eigentlich, es wäre die oberste Pflicht von Malware, da gerade nicht zu erscheinen ... Danke für den Hinweis auf den Process Explorer - das war wie einen alten Verwandten besuchen ) - aber der zeigt auch nix anderes, und es erklärt nicht so ganz, warum das Ding immer volle Kanne läuft und sich nicht ausschalten lässt.

Vorsichtige Frage: War vielleicht noch was im Log? Oder könnte es auch mit diesem Ekelteil zusammenhängen, auf das MS auch keine Antwort hat: CAPI2

Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Danke, monogram

Hinweise hab ich da so nicht gesehen. mmc.exe ist die MS-Managementkonsole, kannst Du den Prozess beenden/killen und wenn ja, geht die Last runter?

mmc.exe abschalten hält auch das Ereignis-sortieren an - Fehlanzeige, leider.

Habe mir die Logfiles auch noch mal durchgesehen und verstehe folgende Sachen leider nicht:

Code: Alles auswählenAufklappen

ATTFilter

---

Computer Name: ***
Event Code: 11
Message: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
Record Number: 58608
Source Name: disk
Time Written: 20090216203828.921875-000
Event Type: Fehler
User:

---

Computer Name: ***
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		S-***
	Kontoname:		***
	Kontodomäne:		***
	Anmelde-ID:		0x111e01f

Berechtigungen:		SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 17641
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090114202630.032975-000
Event Type: Überwachung erfolgreich
User: 

---

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

---

R2 acedrv09;acedrv09; \??\C:\Windows\system32\drivers\acedrv09.sys [2007-06-18 373568]
R2 acehlp09;acehlp09; \??\C:\Windows\system32\drivers\acehlp09.sys [2007-05-30 201696]

---

O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe

---

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

---

O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

---
         

Ist das ein Plattenfehler beim Controller?

Und dann hab ich ja noch immer dieses GMER-Log - wann immer da man etwas googelt, landet man bei Trojanern & Co.:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-22 12:26:46
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\***\AppData\Local\Temp\pftdqpob.sys


---- System - GMER 1.0.15 ----

SSDT 950B3C9C ZwCreateThread
SSDT 950B3C88 ZwOpenProcess
SSDT 950B3C8D ZwOpenThread
SSDT 950B3C97 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 221 820B1964 4 Bytes [9C, 3C, 0B, 95] {PUSHF ; CMP AL, 0xb; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 3F1 820B1B34 4 Bytes [88, 3C, 0B, 95] {MOV [EBX+ECX], BH; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 40D 820B1B50 4 Bytes [8D, 3C, 0B, 95] {LEA EDI, [EBX+ECX]; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 621 820B1D64 4 Bytes [97, 3C, 0B, 95] {XCHG EDI, EAX; CMP AL, 0xb; XCHG EBP, EAX}
.reloc C:\Windows\system32\drivers\acehlp09.sys section is executable [0x8CDC2780, 0x28F7A, 0xE0000060]
.reloc C:\Windows\system32\drivers\acedrv09.sys section is executable [0x99468000, 0x4E05A, 0xE0000060]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018f337f16b
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018f337f16b (not active ControlSet)

---- EOF - GMER 1.0.15 ----
         

Vielen Dank, Monogram

Ein Plattenfehler könnte möglich sein. Du kannst ja mal von Western Digital das Tool WinDLG herunterladen und unter Windows die Platte testen.

Noch ein Tipp von Angel21:

C:\Windows\system32\DRIVERS\smserial.sys

Diese Datei bitte auch bei Virustotal.com auswerten und die Ergebnisse posten (wie bei der z1info... Datei)

Das scannen von smserial dauert ein wenig (wahrscheinlich freuen die sich jetzt über neue Seriennummern

In der Zwischenzeit wollte ich nochmal fragen, was das Zeug in GMER eigentlich zu bedeuten hat ...

PS Platte ist ne Hitachi, läuft nicht mit WD-Diagnostik, und die Sachen auf deren Homepage sind ... naja ...

Datei smserial.sys empfangen 2009.12.23 14:25:09 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)

Negativ!

VG Monogram