Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sehr hohe CPU auslastung bis zum absturz ( ohne erkenntlichen grund ) (https://www.trojaner-board.de/74594-sehr-hohe-cpu-auslastung-absturz-ohne-erkenntlichen-grund.html)

Barefoot 28.06.2009 14:40
Sehr hohe CPU auslastung bis zum absturz ( ohne erkenntlichen grund )
 
Hallo

Ich habe seit ein paar Wochen Schwierigkeiten mit meinem Notbook.
Es fängt damit an das es schon ca. eine Viertelstunde braucht um hoch zu fahren und alles zu laden. In meinem Autostart sind nur die Nötigsten Programme. Ausehr Somefox von dem ich gelesen habe das es ein Virus ist ?!
Wenn er dann hochgefahren und ''ansprechbar'' ist, ist alles Ok bis ich ein beliebiges Programm öffne. Dann Springt die CPU Auslastung auf
Hundert Prozent, explorer.exe pendelt irgendwo zwischen Zehn und Achtzig und
die meisten anderen aufgelisteten Programme sind auf Null.
Wen ich Firefox öffne ist es genauso, eben nur mit firefox.exe nicht mit explorer.exe. Wenn ich auf Youtube oder MYvideo Videos anschaue Springen explorer.exe und firefox.exe auf Hundert und mein Notebook schaltet sich aus.
Es ist aber nicht immer so.
Manchmal kommt es auch vor das ich mehre Programme aufhabe und die Auslastung nur bei Zwanzig liegt.

Ich habe schon mit Avg und Avira gescannt so wie mit Trend Micro und Panda Security.
Nur Trend Micro hat vier Viren gefunden, die aber nicht als gefährlich eingestuft.


Vielleicht könnte sich jemand mahl mein Logfile anschauen.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:33:08, on 28.06.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O15 - Trusted Zone: *.line6.net
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: WUSB54GPv4SVC - Unknown owner - C:\Program Files\Wireless-G Portable USB Adapter Wireless Network Monitor\WLService.exe (file missing)

--
End of file - 5015 bytes


Danke

*Krawall$chachtel* 28.06.2009 15:21
also ist es die explorer.exe die spinnt, richtig?
sowas hatte ich vor kurzem auch, heißt aber net, dass es bei dir auch der fall ist!

bei mir war es eine videodatei, welche auf dem desktop lag und beschädigt war, man konnte sie nicht einlesen oder entfernen, da die explorer.exe auf hundert war.
prüfe bitte, ob du auch irgendwo in desktopnähe eine solche datei hast!

mit dem programm prozessmenager kann man prüfen, was genau die explorer.exe so auf die palme treibt, ich würde dir empfehlen da mal nachzusehen!

dein log ergibt jetzt eigendlich ncihts schwerwiegendes ...

Barefoot 28.06.2009 17:19
Hi
Also ich habe keine Beschädigten Video oder Musik Dateien hier rumliegen.

Ich hab mir prozessmanager runtergeladen aber ich komme nicht so richtig damit klar.
Das einzige was ich herausgefunden habe ist das youtube Dutzende von
Temps speichert und isess.exe irgend was scannt. :o

Gibt es noch einen anderen weg es raus zubekommen?
Danke schon mahl

Kaos 28.06.2009 17:29
Hallo Barefoot,

Lese dir diese Anleitung durch und führe die Schritte (a,b,c und d) unter Punkt 2 aus. Danach wird man dann mehr sehen können.

Poste am besten alle Logs in einer Codebox. (["code"]Hier den Text["/code"], ohne die Anführungszeichen.

mfg, Kaos

Barefoot 28.06.2009 21:26
Hi
so hat etwas länger gedauert sorry

Malwarebytes-Anti-Malware

Code:
Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 6.0.6000

28.06.2009 21:42:02
mbam-log-2009-06-28 (21-42-02).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 190838
Laufzeit: 2 hour(s), 14 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Somefox (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

HijackThis

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:19:21, on 28.06.2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe (file missing)
O13 - Gopher Prefix:
O15 - Trusted Zone: *.line6.net
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: WUSB54GPv4SVC - Unknown owner - C:\Program Files\Wireless-G Portable USB Adapter Wireless Network Monitor\WLService.exe (file missing)

--
End of file - 4624 bytes


Installierter Software

Code:
3531-W-I32-D SATARAID5
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Audacity 1.2.6
AVG Free 8.5
Avira NTFS4DOS 1.9
CCleaner (remove only)
Command & Conquer 3
Debut Video Capture Software
DHTML Editing Component
FLV Player 1.3.3
Google Earth
Guitar Pro 5.2
HijackThis 2.0.2
ICQ Toolbar
ICQ6
Intel(R) PROSet/Wireless Software
Java(TM) 6 Update 14
L&H TTS3000 British English
L&H TTS3000 Deutsch
Line 6 Uninstaller
Malwarebytes' Anti-Malware
mDriver
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual J# .NET Redistributable Package 1.1
Mozilla Firefox (3.0.11)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
NCH Toolbox
neroxml
PhotoFiltre
Real Alternative 1.8.2
RealSpeak Solo fur Deutsch - Steffi
Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
Realtek High Definition Audio Driver
Uninstall 1.0.0.1
Unlocker 1.8.7
VCRedistSetup
VideoLAN VLC media player 0.8.6e
WebEx Support Manager for Internet Explorer
WinAce Archiver
Windows Driver Package - Intel (NETw2v32) net  (02/14/2007 9.1.1.13)
Windows Driver Package - Intel (NETw4v32) net  (02/25/2007 11.1.0.86)
Windows Media Player Firefox Plugin
WinRAR
World of Warcraft
Ich hoffe das ist alles richtig so :)

Kaos 28.06.2009 21:41
Malwarebytes wurde nicht geupdatet (Datenbank Version: 2297, aktuell ist 2347). Also bitte updaten und nocheinmal scannen.
Deinstalliere alles, was du nicht mehr unbedingt benötigst und alle am besten alle Toolbars.

Zitat:
Platform: Windows Vista (WinNT 6.00.1904)
Du solltest unbedingt das Servicepack 2 installieren.

mfg, Kaos

Barefoot 28.06.2009 22:16
Zitat:
Malwarebytes wurde nicht geupdatet
:headbang: :headbang: :headbang: So ein mist
Das werde ich heute klaube ich nicht mehr machen.
Ich muss morgen arbeiten.


Zitat:
Du solltest unbedingt das Servicepack 2 installieren.
Das wird ja bestimmt auch seine Zeit dauern.
also melde ich mich morgen mit neuem Malwarebytes Logfile und Servicepack 2 zurück

Danke für die bisherige Hilfe und eine sehr gute Nacht
:sleepy:

Barefoot 29.06.2009 18:06
Hi da bin ich wieder.
Und ich bis sooo genervt.

Aso heute habe ich an der Arbeit das Servicepack 1 und 2 installiert
sowie Malwarebytes geupdatet.

Servicepacks wahren kein Problem, auch wenn es fünf Stunden gedauert hat.

Nur habe ich Malwarebytes schon ungefähr ein dutzendmal gestartet doch
mein Notebook schaft es nicht und schaltet sich aus.
Die CPU Auslastung ist bei Hundert Prozent aber kein Programm hat mehr als fünf !? Gibt es noch ein vergleichbares Programm ?

Kaos 29.06.2009 21:41
Erstelle bitte mal ein neues HijackThis Log.

Rootkitsuche mit Gmer:
  • Lade dir Gmer von Gmer.net und entpacke es auf dem Desktop.
  • Beende alle Programme (Auch Antrivirenprogramme, Firewalls etc. Und trenne dich von Internet).
  • Starte jetzt Gmer (Dein System wird nun kurz gescannt, falls Gmer etwas findet klicke auf Ja, um einen vollständigen Scan zu machen).
  • Drücke auf "Scan" (Falls dies nicht bereits gemacht wurde, weil etwas bei dem kurzen Scan gefunden wurde).
  • Wenn der Scan fertig ist, drücke auf "Copy"
  • Füge den Text hier im Board mit "STRG + V" ein
mfg, Kaos

Barefoot 30.06.2009 15:29
So hir ist es.
Hab es jetzt wie gesagt mit Strg + V gespeichert.
Ich hoffe ich hab alles richtig gemacht.:)



GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-30 16:17:05
Windows 6.0.6002 Service Pack 2


---- System - GMER 1.0.15 ----

INT 0x51 ? 84688BF8
INT 0x52 ? 8637AF00
INT 0x72 ? 84689BF8
INT 0x82 ? 84689BF8
INT 0xA2 ? 84689BF8
INT 0xA2 ? 84689BF8
INT 0xA2 ? 84689BF8
INT 0xA2 ? 8637AF00
INT 0xA2 ? 84689BF8
INT 0xA3 ? 8637AF00
INT 0xB3 ? 8637AF00

---- Kernel code sections - GMER 1.0.15 ----

? System32\Drivers\splo.sys Das System kann den angegebenen Pfad nicht finden. !
.text USBPORT.SYS!DllUnload 8C2CF41B 5 Bytes JMP 8637A4E0

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [826946D2] \SystemRoot\System32\Drivers\splo.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [82694040] \SystemRoot\System32\Drivers\splo.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [826947FC] \SystemRoot\System32\Drivers\splo.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [826940BE] \SystemRoot\System32\Drivers\splo.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8269413C] \SystemRoot\System32\Drivers\splo.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [826A4048] \SystemRoot\System32\Drivers\splo.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8501D1F8

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)

Device \FileSystem\udfs \UdfsCdRom 86A8D1F8
Device \FileSystem\udfs \UdfsDisk 86A8D1F8
Device \Driver\netbt \Device\NetBT_Tcpip_{CD9DE940-4C89-47F7-8736-8B89E45CBC6F} 86A7C1F8
Device \Driver\volmgr \Device\VolMgrControl 850181F8
Device \Driver\usbuhci \Device\USBPDO-0 863CC1F8
Device \Driver\usbuhci \Device\USBPDO-1 863CC1F8
Device \Driver\usbehci \Device\USBPDO-2 863221F8
Device \Driver\usbuhci \Device\USBPDO-3 863CC1F8
Device \Driver\usbuhci \Device\USBPDO-4 863CC1F8
Device \Driver\usbuhci \Device\USBPDO-5 863CC1F8
Device \Driver\usbehci \Device\USBPDO-6 863221F8
Device \Driver\volmgr \Device\HarddiskVolume1 850181F8

AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device \Driver\cdrom \Device\CdRom0 864381F8
Device \Driver\BTHUSB \Device\00000072 bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device \Driver\BTHUSB \Device\00000072 bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device \Driver\netbt \Device\NetBT_Tcpip_{04372A2D-810C-40AC-8FC8-E6471421D876} 86A7C1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 8501A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-4 8501A1F8
Device \Driver\atapi \Device\Ide\IdePort0 8501A1F8
Device \Driver\atapi \Device\Ide\IdePort1 8501A1F8
Device \Driver\atapi \Device\Ide\IdePort2 8501A1F8
Device \Driver\atapi \Device\Ide\IdePort3 8501A1F8
Device \Driver\atapi \Device\Ide\IdePort4 8501A1F8
Device \Driver\msahci \Device\Ide\PciIde1Channel0 8501B1F8
Device \Driver\msahci \Device\Ide\PciIde1Channel1 8501B1F8
Device \Driver\msahci \Device\Ide\PciIde1Channel2 8501B1F8
Device \Driver\BTHUSB \Device\00000074 bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device \Driver\BTHUSB \Device\00000074 bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device \Driver\netbt \Device\NetBt_Wins_Export 86A7C1F8
Device \Driver\Smb \Device\NetbiosSmb 8706A500
Device \Driver\iScsiPrt \Device\RaidPort0 863AC1F8
Device \Driver\usbuhci \Device\USBFDO-0 863CC1F8
Device \Driver\usbuhci \Device\USBFDO-1 863CC1F8
Device \Driver\usbehci \Device\USBFDO-2 863221F8
Device \Driver\netbt \Device\NetBT_Tcpip_{BBA942D0-DA11-4329-9727-6CBB67084D5D} 86A7C1F8
Device \Driver\netbt \Device\NetBT_Tcpip_{0B4A6CB0-8A9C-462D-826D-A4CD7B29ED23} 86A7C1F8
Device \Driver\usbuhci \Device\USBFDO-3 863CC1F8
Device \Driver\usbuhci \Device\USBFDO-4 863CC1F8
Device \Driver\usbuhci \Device\USBFDO-5 863CC1F8
Device \Driver\usbehci \Device\USBFDO-6 863221F8
Device \Driver\Si3531 \Device\Scsi\Si35311 8501C1F8
Device \Driver\Si3531 \Device\Scsi\Si35311Port5Path0Target1fLun0 8501C1F8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d000df
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d000df@001a8997ea3f 0xE9 0x20 0x9D 0xFF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 967855252
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -671549449
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x87 0x8A 0x04 0x88 ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001060d000df
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001060d000df@001a8997ea3f 0xE9 0x20 0x9D 0xFF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x87 0x8A 0x04 0x88 ...
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Programme\Liquid Entertainment\DER RINGKRIEG\x2122\Setup.exe 32

---- EOF - GMER 1.0.15 ----

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:24:36, on 30.06.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\conime.exe
C:\Users\Ian\Desktop\gmer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O15 - Trusted Zone: *.line6.net
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: WUSB54GPv4SVC - Unknown owner - C:\Program Files\Wireless-G Portable USB Adapter Wireless Network Monitor\WLService.exe (file missing)

--
End of file - 3793 bytes

Kaos 30.06.2009 22:42
1. Fixen mit HijackThis: (Als Administrator starten)

  • Schließe alle offenen Programme
  • HijackThis starten und “Do a system scan only”
  • Markiere nun folgene Einträge
Code:
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -
O23 - Service: WUSB54GPv4SVC - Unknown owner - C:\Program Files\Wireless-G Portable USB Adapter Wireless Network Monitor\WLService.exe (file missing)
  • Klicke jetzt auf “Fix checked”
  • Starte nun den Rechner neu
2. Lade dir SuperAntiSpyware und führe es nach der Anleitung aus (Punkt 1-3)


3. Und noch 3 Fragen

Zitat:
C:\Programme\Liquid Entertainment\DER RINGKRIEG\x2122\Setup.exe 32
Was ist das für ein Programm? Ist das eine Originaldatei oder hast du die nachträglich installiert?

Hast oder hattest du Daemon-Toolz, Alcohol 120 oder ein ähliches Programm installiert?
Und hattest du AVG installiert und es deinstalliert?

mfg, Kaos

Barefoot 01.07.2009 20:19
So nach vier Stunden Scannen bekam ich die Meldung
''Scan Abgeschlossen'' kurz darauf ''Der Scan ist nicht Abgeschlossen, trotzdem fortfahren ''. Als ich auf Nein gedrückt habe
kam ich wieder ins ''Hauptmenü''
kann das ein Virus verursachen oder hat das Programm einfach kurz gemuckt ?
Das Löschen der Dateien mit HijackThis hat aber geklappt. :)


Code:
SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 07/01/2009 bei 08:41 PM

Version der Applikation : 4.26.1006

Version der Kern-Datenbank : 3965
Version der Spur-Datenbank : 1905

Scan Art      : kompletter Scann
Totale Scann-Zeit : 04:24:58

Gescannte Speicherelemente  : 301
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 6135
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 107626
Erfasste Datei-Elemente  : 0

Zitat:
Was ist das für ein Programm? Ist das eine Originaldatei oder hast du die nachträglich installiert?
Ich hab mir vor gut zwei Monaten das spiel HdR Der Ringkrieg
aus der örtlichen Videothek geliehen.
Und nur installiert, gespielt und wieder deinstalliert.
Also müsste die Datei Original sein, auch wen ich mir nicht erklären kann warum die immer noch da ist.

Zitat:
Hast oder hattest du Daemon-Toolz, Alcohol 120 oder ein ähliches Programm installiert?
Als ich das Notebook von meinem Bruder bekommen habe, habe ich bemerkt das bei jedem Systemstart Daemon-Toolz geladen wurde.
Aber das einzige was ich aus den, bei Google gefundenen, Artikeln
verstanden habe wahr das es irgend so eine art Laufwerkssimulation ist !?
Ich konnte mir nicht vorstellen das es wichtig ist also habe ich es gelöscht.
Wahr es doch wichtig ?
Und Alcohol 120 kenne ich nicht.


Zitat:
Und hattest du AVG installiert und es deinstalliert?
Als ich AVG das erst mahl installieren habe hat sich das Notebook abgeschaltet und AVG wurde fehlerhaft installiert.
Darauf hin habe ich es deinstalliert und noch einmal installiert.

Ich bitte um Entschuldigung das immer soviel Zeit vergeht bis ich antworte.
Nur habe ich momentan sehr viel um die Ohren.

Kaos 02.07.2009 01:52
Dann führe bitte folgende Punkte nacheinander aus:

  • 1. Deinstalliere:
    • AVG
    • Avira NTFS4DOS 1.9
    • Google Earth(Datenkrake)
    • ICQ Toolbar
    • Uninstall 1.0.0.1
    • Unlocker 1.8.7
    • VideoLAN VLC media player 0.8.6e

  • 2. Lade dir den AVG Remover runter und führe ihn aus. Wenn du das gemacht hast installiere AVG neu oder ein anderes Antivirenprogramm deiner Wahl

  • 3. Lade dir die SPTD Treiber runter und führe das Programm aus. Wähle "Uninstall" und lass den Treiber deinstallieren. Falls nur Install möglich sein sollte und kein Uninstall, beende das Programm.

  • 4. RSIT:
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
  • In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
  • Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.
mfg, Kaos

Barefoot 02.07.2009 18:15
So bin gerade nach hause gekommen und direkt an den PC.
Ich hab Avira NTFS4DOS 1.9 und AVG gelöscht.
Nach der Deinstallation von AVG hab ich einen Neustart zugestimmt
und es erschien ein Bluescreen
und ich Depp habe in aus versehen weg geklickt :(
So jedes mahl wen ich das Notebook angeschaltet habe schaltete es sich nach ca. einer halben Minute wieder aus.
Als es dann, nach dem vierten mahl, geklappt hat habe ich auf ''System wiederherstellen ( Erweitert )'' geklickt und nun ist wieder alles beim alten.

Gibt es eine Seite mit allen Bluescreens auf der ich mahl nachsehen kann ob ich in wieder erkenne ?

Barefoot 02.07.2009 20:24
So Finish

Code:
info.txt logfile of random's system information tool 1.06 2009-07-02 19:49:22

======Uninstall list======

-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2638924D-DC58-4C40-BB1C-48C2B24B7B1B}\Setup.exe" -L0x7
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{52739387-B81C-4C55-9593-EB7A1044A657}\Setup.exe" -L0x7
3531-W-I32-D SATARAID5-->MsiExec.exe /X{1C1DF401-0A3E-49C8-85AD-EB3C9F82A275}
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Command & Conquer 3-->MsiExec.exe /I{B0C30E93-D3D9-4F04-A2AC-54749B573275}
Debut Video Capture Software-->C:\Program Files\NCH Software\Debut\uninst.exe
DHTML Editing Component-->MsiExec.exe /I{2EA870FA-585F-4187-903D-CB9FFD21E2E0}
FLV Player 1.3.3-->"C:\Program Files\FLVPlayer\uninstall.exe"
Guitar Pro 5.2-->"C:\Program Files\Guitar Pro 5\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Intel(R) PROSet/Wireless Software-->C:\Windows\Installer\iProInst.exe
Java(TM) 6 Update 14-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
L&H TTS3000 British English-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\LHTTSENG.inf, Uninstall
L&H TTS3000 Deutsch-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\LHTTSGED.inf, Uninstall
Line 6 Uninstaller-->C:\Program Files\Line6\Tools\Line 6 Uninstaller.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
mDriver-->MsiExec.exe /I{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual J# .NET Redistributable Package 1.1-->MsiExec.exe /X{1A655D51-1423-48A3-B748-8F5A0BE294C8}
Mozilla Firefox (3.0.11)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NCH Toolbox-->C:\Program Files\NCH Swift Sound\ToolBox\uninst.exe
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
PhotoFiltre-->"C:\Program Files\PhotoFiltre\Uninst.exe"
Real Alternative 1.8.2-->"C:\Program Files\Real Alternative\unins000.exe"
Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\Setup.exe -runfromtemp -l0x0007 -removeonly
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
WebEx Support Manager for Internet Explorer-->MsiExec.exe /I{C34FAEF3-4241-4C4E-9CFF-7BBD8BCEABE7}
WinAce Archiver-->"C:\Program Files\WinAce\SXUNINST.EXE" "C:\Program Files\WinAce\SXUNINST.INI"
Windows Driver Package - Intel (NETw2v32) net  (02/14/2007 9.1.1.13)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DPInst32.exe /u C:\Windows\system32\DRVSTORE\netw2_0514B0CCB09355F296E06B6848853A761CAD5D9E\netw2.inf
Windows Driver Package - Intel (NETw4v32) net  (02/25/2007 11.1.0.86)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DPInst32.exe /u C:\Windows\system32\DRVSTORE\netw4v32_9714898AE6224E16C312B409A2CC0E227D225CEC\netw4v32.inf
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
World of Warcraft-->C:\Program Files\Common Files\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe

=====HijackThis Backups=====

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll [2009-07-01]
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll [2009-07-01]
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) [2009-07-01]
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) [2009-07-01]
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) [2009-07-01]
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -  [2009-07-01]
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) [2009-07-01]
O23 - Service: WUSB54GPv4SVC - Unknown owner - C:\Program Files\Wireless-G Portable USB Adapter Wireless Network Monitor\WLService.exe (file missing) [2009-07-01]

======Hosts File======

127.0.0.1        localhost
::1        localhost

======Security center information======

AS: Windows-Defender
AS: SUPERAntiSpyware

======System event log======

Computer Name: Mein-PC
Event Code: 6013
Message: Die aktive Systemzeit ist 34 Sekunden.
Record Number: 177098
Source Name: EventLog
Time Written: 20090404181456.000000-000
Event Type: Informationen
User:

Computer Name: Mein-PC
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.
Record Number: 177097
Source Name: EventLog
Time Written: 20090404181456.000000-000
Event Type: Informationen
User:

Computer Name: Mein-PC
Event Code: 6009
Message: Microsoft (R) Windows (R) 6.00. 6000  Multiprocessor Free.
Record Number: 177096
Source Name: EventLog
Time Written: 20090404181456.000000-000
Event Type: Informationen
User:

Computer Name: Mein-PC
Event Code: 6006
Message: Der Ereignisprotokolldienst wurde beendet.
Record Number: 177095
Source Name: EventLog
Time Written: 20090403234750.000000-000
Event Type: Informationen
User:

Computer Name: Mein-PC
Event Code: 27
Message: "Automatische Updates" wurde angehalten.
Record Number: 177094
Source Name: Microsoft-Windows-WindowsUpdateClient
Time Written: 20090403234748.425517-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: 26L2233A1-06
Event Code: 1003
Message: Der Windows-Suchdienst wurde gestartet.

Record Number: 5
Source Name: Microsoft-Windows-Search
Time Written: 20080124161224.000000-000
Event Type: Informationen
User:

Computer Name: 26L2233A1-06
Event Code: 5615
Message: Der Windows-Verwaltungsinstrumentationsdienst wurde erfolgreich gestartet.
Record Number: 4
Source Name: Microsoft-Windows-WMI
Time Written: 20080124161223.000000-000
Event Type: Informationen
User:

Computer Name: LH-QFAG77EA1B2D
Event Code: 4625
Message: Das EventSystem-Subsystem unterdrückt duplizierte Ereignisprotokolleinträge für eine Dauer von 86400 Sekunden. Dieses Zeitlimit kann durch den REG_DWORD-Wert SuppressDuplicateDuration unter folgendem Registrierungsschlüssel gesteuert werden: HKLM\Software\Microsoft\EventSystem\EventLog.
Record Number: 3
Source Name: Microsoft-Windows-EventSystem
Time Written: 20080124161218.000000-000
Event Type: Informationen
User:

Computer Name: LH-QFAG77EA1B2D
Event Code: 900
Message: Der Softwarelizenzierungsdienst wird gestartet.

Record Number: 2
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20080124161218.000000-000
Event Type: Informationen
User:

Computer Name: LH-QFAG77EA1B2D
Event Code: 1531
Message: Der Benutzerprofildienst wurde erfolgreich gestartet. 


Record Number: 1
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20080124161217.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Security event log=====

Computer Name: Mein-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                SYSTEM
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-ID:                0x3e7

Berechtigungen:                SeAssignPrimaryTokenPrivilege
                        SeTcbPrivilege
                        SeSecurityPrivilege
                        SeTakeOwnershipPrivilege
                        SeLoadDriverPrivilege
                        SeBackupPrivilege
                        SeRestorePrivilege
                        SeDebugPrivilege
                        SeAuditPrivilege
                        SeSystemEnvironmentPrivilege
                        SeImpersonatePrivilege
Record Number: 33780
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080915115155.463289-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Mein-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                MEIN-PC$
        Kontodomäne:                WORKGROUP
        Anmelde-ID:                0x3e7

Anmeldetyp:                        5

Neue Anmeldung:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                SYSTEM
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-ID:                0x3e7
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
        Prozess-ID:                0x2b4
        Prozessname:                C:\Windows\System32\services.exe

Netzwerkinformationen:
        Arbeitsstationsname:       
        Quellnetzwerkadresse:        -
        Quellport:                -

Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:                Advapi 
        Authentifizierungspaket:        Negotiate
        Übertragene Dienste:        -
        Paketname (nur NTLM):        -
        Schlüssellänge:                0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
        - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 33779
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080915115155.463289-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Mein-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                MEIN-PC$
        Kontodomäne:                WORKGROUP
        Anmelde-ID:                0x3e7
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
        Kontoname:                SYSTEM
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Zielserver:
        Zielservername:        localhost
        Weitere Informationen:        localhost

Prozessinformationen:
        Prozess-ID:                0x2b4
        Prozessname:                C:\Windows\System32\services.exe

Netzwerkinformationen:
        Netzwerkadresse:        -
        Port:                        -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 33778
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080915115155.463289-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Mein-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                SYSTEM
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-ID:                0x3e7

Berechtigungen:                SeAssignPrimaryTokenPrivilege
                        SeTcbPrivilege
                        SeSecurityPrivilege
                        SeTakeOwnershipPrivilege
                        SeLoadDriverPrivilege
                        SeBackupPrivilege
                        SeRestorePrivilege
                        SeDebugPrivilege
                        SeAuditPrivilege
                        SeSystemEnvironmentPrivilege
                        SeImpersonatePrivilege
Record Number: 33777
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080915115155.447689-000
Event Type: Überwachung erfolgreich
User:

Computer Name: Mein-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                MEIN-PC$
        Kontodomäne:                WORKGROUP
        Anmelde-ID:                0x3e7

Anmeldetyp:                        5

Neue Anmeldung:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                SYSTEM
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-ID:                0x3e7
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
        Prozess-ID:                0x2b4
        Prozessname:                C:\Windows\System32\services.exe

Netzwerkinformationen:
        Arbeitsstationsname:       
        Quellnetzwerkadresse:        -
        Quellport:                -

Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:                Advapi 
        Authentifizierungspaket:        Negotiate
        Übertragene Dienste:        -
        Paketname (nur NTLM):        -
        Schlüssellänge:                0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
        - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 33776
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080915115155.447689-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Smart Projects\IsoBuster;C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis2\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2

-----------------EOF-----------------


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:29 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131