Hallo,
hoffe ich muss nicht all zu oft das Forum besuchen (wegen Problemen^^), aber hab seit gestern ein Problem.
Mein USB Stick hatte eine
autorun.inf, hatte es geöffnet und dort stand wirres Zeug für mich. Also hatte ich es glöscht. Als ich später wieder mit dem Stick am PC war, war die
autorun.inf wieder da. Hab mich dann als Admin eingelogt, um den Stick zu formatieren.
Dabei fiel mir auf das Spybot's Teatimer mir Warnungen über versuchte Registry Einträge gab (Winlogon, csrss.exe), welche ich nicht erlaubte. Dies wiederholte sich mehrmals, also hab ich es in die Blacklist hinzugefügt. Als ich die Log von Teatimer anschaute stellte ich fest, das ca. alle 6 sec. ein Eintragversuch stattfindet.
Nun möchte ich wissen ob da was ist (wird wohl sein Q_Q) und wie ich den USB Stick wieder sauber kriege.
Folgent noch paar Sachen:
1. autorun.inf (Text) falls ihr etwas damit anfangen könnt.
Zitat:
[autorun]
)fafkklwqlfヤヒ詞間ヒ悁マ車・ト写ヒラタヒヤマ詞ヒヤ詞・ldfASLFMdWLQ??DL?WQ??Fw萬ツタロヤトタヤヌトタヌユンヨノヒタヌユヨノルハヌユンヨノリヒヤロワフタヤロトニ・磑鏸踈瞞ロトニ琿蓊ニン萇ンヨニタトヌユンタ・ニン粱蓊跪・蓙・・・゚ヤロトツヒ踐鴉萵ンヨノ萵ン ヨノ萵ンヨノ萵顗粱・萵萵ンヨノ璋鰲ヨトノニタ・ヤ飯粱菷萵ンヨノ・ヌンヨノ
shellexecute=PRVA\\\\\\\\\\\\STRANA.exe
~瑶鉧トタンヨノ萵萵・・・踝髙・蔬鏆珎ヨノトルタ鋏鱠籔ノヒタンヤロ萵ンヤロ
shell\explore\command=PRVA\\\\\\\\\\\\STRANA.exe
&瑶鈺タン鱠璋鯊ヒロン粭ン
open=PRVA\\\\\\\\\\STRANA.exe
%・鳰ンヨノハユ瑟・
*icon=avion\\\\\\\\\\\\fasfsaffq.exe
:・・・ネワ・
action=Open folderto view files usingWindowsExplorer
>籵髙・・蓙隝蓙
USEAUTOPLAY=1
<・鳰襌・錏鴿・・
|ハリモルリナヌルノリハヌユテハヌヨモヌルナユヨモナ
shell\open\command=PRVA\\\\\\\\\\\\STRANA.exe
%タヤロヒホトツヒロヤトニマタヒンニヤホロンツトロニ
Shell\open\command=PRVA\\\\\\\\\\\\STRANA.exe
*タヤロマホロトニヒツンニヤヒタンロニトマ
icon=%SystemRoot%\system32\SHELL32.dll,4
!゚ヤツヒハヌルハユモフマヒトニツワフトロツチマントヌユタハトユワヒンヨノニ
|
2. Spybot's Teatimer Log (nur ein Teil der versuchten Einträge, welche immer dieselben sind):
Zitat:
27.04.2010 00:49:14 Verweigert (based on user decision) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
......
27.04.2010 00:53:12 Verweigert (based on user decision) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
......
27.04.2010 01:44:38 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 01:44:44 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 15:20:48 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 15:20:57 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 15:21:04 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 15:21:11 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 15:21:17 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
|
3. Hijackthis Log:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:22:30, on 27.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
F:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
F:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
F:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wuauclt.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe
O2 - BHO: ATLAS Toolbar - {3C6301ED-0F78-4AF2-8150-D9C052361A8E} - F:\Programme\ATLAS V14\ATLIECP.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - F:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ATLAS Toolbar - {3C6301ED-0F78-4AF2-8150-D9C052361A8E} - F:\Programme\ATLAS V14\ATLIECP.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Translate with ATLAS - F:\Programme\ATLAS V14\Atlscript.html
O8 - Extra context menu item: ATLAS Translation &Editor - F:\Programme\ATLAS V14\AtlscriptEdit.html
O9 - Extra button: ATLAS Translation - {B7707A72-4355-11D4-82BD-00000EBBEF8D} - F:\Programme\ATLAS V14\Atlscript.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: hxxp://*.update.microsoft.com
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - F:\Programme\CDBurnerXP\NMSAccessU.exe
--
End of file - 5241 bytes
|
Falls noch etwas gebraucht wird, dann bitte bescheid geben. Und schonmal ein Danke an alle, die sich Zeit für das Problem nehmen.
m(_ _)m
27.04.2010, 16:42
Baum-Darstellung