Trojaner-Board - Computer funktioniert nur mehr im abgesicherten Modus

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Computer funktioniert nur mehr im abgesicherten Modus (https://www.trojaner-board.de/89933-computer-funktioniert-nur-mehr-abgesicherten-modus.html)

Computer funktioniert nur mehr im abgesicherten Modus

Guten Tag!

Ich habe seit heute ein großes Problem!

Mein PC funktioniert im normalen Modus nicht mehr bzw. kaum. Online Anwendungen gehen sowieso nicht und Offline Anwendungen werden entweder ständig abgebrochen/unterbrochen.

Nach ewig langem Warten hab ich es dann geschafft AVG Antivir zu starten allerdings wurde nichts gefunden.

Hoffe ihr habt eine Lösung für das Problem! Danke schon mal für die Mühe im Voraus.

LG

Anbei mein Hijack File:

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:43:50, on 24.08.2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18943)

Boot mode: Safe mode with network support

 

Running processes:

C:\Windows\Explorer.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Users\Stefan\Downloads\HiJackThis(2).exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O13 - Gopher Prefix: 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

 

--

End of file - 3803 bytes

--- --- ---

hast du malwarebytes genutzt? dann poste bitte das scan log, zu finden unter logdateien.

Zitat:

Zitat von markusg (Beitrag 559262)

hast du malwarebytes genutzt? dann poste bitte das scan log, zu finden unter logdateien.

Hi!

Ich habs im normalen Modus versucht allerdings ging es nicht! Für die Anzahl an Objekten die im abgesicherten Modus wenige Minuten gebraucht hat brauchte er im Normalen 30 Minuten und danach ging wieder nichts mehr.

---

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4469

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18943

24.08.2010 16:27:50
mbam-log-2010-08-24 (16-27-50).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 126269
Laufzeit: 6 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

LG

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Ich hab das jetzt im abgesicherten Modus gestartet allerdings bin ich dann nach dem automatischen Neustart in den Normalen gekommen und seit mehr als 20 Minuten hab ich nun ein blaues Fenster mit "Bereite LogDatei vor" vor mir ...

hmm dann schließ das mal und versuche combofix jetzt noch mal zu starten im normal modus.

Das hat leider auch nicht funktioniert, da im normale Modus Combofix nicht einmal gestartet hat!

Gibts vielleicht irgendeine Möglichkeit einzustellen dass man bei jedem Neustart gefragt werden will in welchen Modus man will oder alternativ automatisch in den abgesicherten Modus (mit Netzwerkverbindung) kommt?

naja du könntest halt bei pc start die f8taste oder welche das auch immer bei dir ist, drücken und dann abges.modus wählen.

Hi!

Danke! Das hab dann wohl ich verpfuscht beim 1. Mal.

---

ComboFix 10-08-23.05 - Stefan 24.08.2010 20:56:05.1.2 - x86 NETWORK
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.43.1031.18.1791.1387 [GMT 2:00]
ausgeführt von:: C:\Users\Stefan\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\driVERs\jcpuaxx.sys . . . . Nicht in der Lage zu löschen
.
---- Vorheriger Suchlauf -------
.
c:\windows\system32\driVERs\jcpuaxx.sys . . . . Nicht in der Lage zu löschen

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_jcpuaxx
-------\Service_jcpuaxx
-------\Legacy_jcpuaxx
-------\Service_jcpuaxx
-------\Legacy_jcpuaxx
-------\Service_jcpuaxx
-------\Legacy_jcpuaxx
-------\Service_jcpuaxx

ich brauch schon alles
also das ganze log

Zitat:

Zitat von markusg (Beitrag 559556)

ich brauch schon alles
also das ganze log

Meinst du den Catchlog?

---

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 21:31:18
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 21:31:25
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 21:31:48
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 21:31:21
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 21:31:53
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 21:31:54
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 21:31:58
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 21:32:01
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 21:32:05
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 21:32:06
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-24 21:32:07
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

---

Unter ComboFix.txt steht nicht mehr drinnen, allerdings öffnete sich die Datei auch nicht wie in der BEschreibung beschrieben automatisch.

ok
start programme zubehör, editor, kopiere rein:

stepdel::
Killall::
Rootkit::
c:\windows\system32\driVERs\jcpuaxx.sys
Driver::
jcpuaxx

Datei speichern unter, typ alle dateien, name cfscript.txt
abspeichern wo sich combofix.exe befindet, ziehe cfscript auf combofix, programm startet, drauf achten das du wieder in den abges. modus startest, log posten.

Zitat:

Zitat von markusg (Beitrag 559579)

Es hat sich leider nichts verändert!

Nach dem Fenster dass es vorbereitet wird kommt weiterhin nichts mehr!

hast du ihn im abgesicherten modus gestartet und dann als er neu startete den abgesicherten modus ausgewählt? wenn ja versuchen wir ein anderes programmdownload den avenger und sieh dir die anleitung an:
Avenger
Kopiere folgendes script ein:

Drivers to disable:
jcpuaxx
Drivers to delete:
jcpuaxx
Files to delete:
c:\windmows\system32\driVERs\jcpuaxx.sys

führe das script wie beschrieben aus, pc wird neu starten, du musst beim start wieder f8 drücken, oder welche taste es bei dir auch ist, und den abgesicherten modus auswählen, log posten.

Zitat:

Zitat von markusg (Beitrag 559704)

hast du ihn im abgesicherten modus gestartet und dann als er neu startete den abgesicherten modus ausgewählt?

Ja hab ich!

Danke werd das Andere jetzt versuchen!

btw. F8 ist die richtige Taste

Da besteht das gleiche Problem. Dieser Punkt funktionierte nicht:

• nach dem Neustart erscheint automatisch ein Log vom Avenger

Und der Avenger Ordner unter C:\ ist leer.

Könnte es eventuell sein dass das m zwischen windows zu viel ist?

hmm wie kommt das da hin.
lösche es mal und versuchs dann erneut :d also das m muss weg

Habs jetzt verpasst auf den abgesicherten Modus zu gehen und dann kam das Log und ins Internet bin ich auch wieder gekommen!

---

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not open driver "jcpuaxx"
Disablement of driver "jcpuaxx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\jcpuaxx" not found!
Deletion of driver "jcpuaxx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\driVERs\jcpuaxx.sys" not found!
Deletion of file "c:\windows\system32\driVERs\jcpuaxx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Soll ich jetzt das Combifix noch mal im normalen Modus probieren?

PC scheint momentan recht ordentlich zu gehen!

na da breche ich mja bald in tränen aus :p hatts also endlich geklappt.
kannst du den avenger ordner mal packen und zu uns hochladen? evtl. av ausschalten.
http://www.trojaner-board.de/54791-a...ner-board.html
danach combofix

JAAAAAAAAAAAAA! ich hab eine Combafix Logdatei .. :applaus:

Ist jetzt übrigens so gegangen als ob nie was gewesen wäre.

---

Combofix Logfile:

Code:

ComboFix 10-08-24.0A - Stefan 25.08.2010  12:26:19.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.43.1031.18.1791.1132 [GMT 2:00]

ausgeführt von:: c:\users\Stefan\Desktop\ComboFix.exe

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Vorheriger Suchlauf -------

.

c:\windows\system32\driVERs\jcpuaxx.sys . . . . Nicht in der Lage zu löschen
 

-- Vorheriger Suchlauf --
 

c:\windows\system32\wininit.exe . . . ist infiziert!!
 

-- Vorheriger Suchlauf --
 

c:\windows\system32\wininit.exe . . . ist infiziert!!
 

--------
 

c:\windows\system32\wininit.exe . . . ist infiziert!!
 

--------
 

c:\windows\system32\wininit.exe . . . ist infiziert!!
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_jcpuaxx

-------\Service_jcpuaxx

-------\Legacy_jcpuaxx

-------\Service_jcpuaxx

-------\Legacy_jcpuaxx

-------\Service_jcpuaxx

-------\Legacy_jcpuaxx

-------\Service_jcpuaxx

-------\Legacy_jcpuaxx

-------\Service_jcpuaxx

-------\Legacy_JCPUAXX

-------\Service_jcpuaxx

-------\Legacy_JCPUAXX

-------\Service_jcpuaxx

-------\Legacy_JCPUAXX

-------\Service_jcpuaxx

-------\Legacy_JCPUAXX
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-07-25 bis 2010-08-25  ))))))))))))))))))))))))))))))

.
 

2010-08-25 10:33 . 2010-08-25 10:33        --------        d-----w-        c:\users\Default\AppData\Local\temp

2010-08-25 08:47 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-08-25 08:47 . 2010-08-25 08:47        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2010-08-25 08:47 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-08-25 06:12 . 2010-08-25 10:40        --------        d-----w-        c:\users\Stefan\AppData\Local\temp

2010-08-24 14:53 . 2010-08-24 14:53        --------        d-----w-        c:\programdata\WindowsSearch

2010-08-24 05:45 . 2010-08-24 05:45        --------        d-----w-        c:\windows\Sun

2010-08-11 08:06 . 2010-06-16 16:04        905088        ----a-w-        c:\windows\system32\drivers\tcpip.sys
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-25 10:40 . 2010-02-13 19:10        52878        ----a-w-        c:\programdata\nvModes.dat

2010-08-25 08:53 . 2010-02-13 17:39        1356        ----a-w-        c:\users\Stefan\AppData\Local\d3d9caps.dat

2010-08-24 16:14 . 2008-01-21 07:15        688380        ----a-w-        c:\windows\system32\perfh007.dat

2010-08-24 16:14 . 2008-01-21 07:15        144782        ----a-w-        c:\windows\system32\perfc007.dat

2010-08-24 14:13 . 2010-08-24 14:13        976832        ----a-w-        c:\programdata\Adobe\Reader\9.3\ARM\22954\AdobeARM.exe

2010-08-24 14:13 . 2010-08-24 14:13        331176        ----a-w-        c:\programdata\Adobe\Reader\9.3\ARM\22954\AcrobatUpdater.exe

2010-08-24 06:45 . 2010-03-03 16:05        --------        d-----w-        c:\program files\Common Files\Real

2010-08-24 06:43 . 2010-03-28 10:18        --------        d-----w-        c:\program files\BIPA

2010-08-12 06:29 . 2006-11-02 11:18        --------        d-----w-        c:\program files\Windows Mail

2010-07-29 09:04 . 2010-04-24 06:25        --------        d-----w-        c:\users\Stefan\AppData\Roaming\vlc

2010-07-17 06:48 . 2010-02-13 18:38        243024        ----a-w-        c:\windows\system32\drivers\avgtdix.sys

2010-07-17 06:48 . 2010-07-17 06:48        12536        ----a-w-        c:\windows\system32\avgrsstx.dll

2010-07-17 06:48 . 2010-02-13 18:38        216400        ----a-w-        c:\windows\system32\drivers\avgldx86.sys

2010-07-15 06:00 . 2010-02-13 18:38        --------        d-----w-        c:\programdata\avg9

2010-06-26 06:05 . 2010-08-11 08:07        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-06-26 06:02 . 2010-08-11 08:07        109056        ----a-w-        c:\windows\system32\iesysprep.dll

2010-06-26 06:02 . 2010-08-11 08:07        71680        ----a-w-        c:\windows\system32\iesetup.dll

2010-06-26 04:25 . 2010-08-11 08:07        133632        ----a-w-        c:\windows\system32\ieUnatt.exe

2010-06-21 13:37 . 2010-08-11 08:07        2037760        ----a-w-        c:\windows\system32\win32k.sys

2010-06-18 17:31 . 2010-08-11 08:07        36864        ----a-w-        c:\windows\system32\rtutils.dll

2010-06-18 15:04 . 2010-08-11 08:07        302080        ----a-w-        c:\windows\system32\drivers\srv.sys

2010-06-18 15:04 . 2010-08-11 08:07        144896        ----a-w-        c:\windows\system32\drivers\srv2.sys

2010-06-11 16:16 . 2010-08-11 08:07        274944        ----a-w-        c:\windows\system32\schannel.dll

2010-06-11 16:15 . 2010-08-11 08:07        1248768        ----a-w-        c:\windows\system32\msxml3.dll

2010-06-08 17:35 . 2010-08-11 08:07        3548040        ----a-w-        c:\windows\system32\ntoskrnl.exe

2010-06-08 17:35 . 2010-08-11 08:07        3600768        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2010-06-03 07:46 . 2010-02-13 18:38        29584        ----a-w-        c:\windows\system32\drivers\avgmfx86.sys

2010-05-27 20:08 . 2010-08-11 08:07        81920        ----a-w-        c:\windows\system32\iccvid.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]

"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-17 2065760]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-02-15 417792]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"VistaSp2"=hex(b):53,6c,2c,e4,1f,c0,ca,01
 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2010-07-17 216400]

S1 AvgTdiX;AVG Free Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2010-07-17 243024]

S2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-07-21 921952]

S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-07-17 308136]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

Inhalt des "geplante Tasks" Ordners
 

2010-08-24 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-796722432-745633425-1174557795-1000.job

- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\users\Stefan\AppData\Roaming\Mozilla\Firefox\Profiles\letz8p2x.default\

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll

FF - plugin: c:\programdata\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll

FF - plugin: c:\windows\system32\TVUAx\npTVUAx.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-08-25 12:39

Windows 6.0.6002 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 
 

c:\users\Stefan\AppData\Local\Temp\catchme.dll 53248 bytes executable
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 1
 

**************************************************************************

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\nvvsvc.exe

c:\windows\system32\nvvsvc.exe

c:\program files\AVG\AVG9\avgnsx.exe

c:\program files\AVG\AVG9\avgcsrvx.exe

c:\windows\system32\conime.exe

c:\program files\AVG\AVG9\avgchsvx.exe

c:\program files\AVG\AVG9\avgrsx.exe

c:\program files\AVG\AVG9\avgcsrvx.exe

c:\program files\AVG\AVG9\avgtray.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-08-25  12:46:31 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-08-25 10:46
 

Vor Suchlauf: 11 Verzeichnis(se), 143.051.063.296 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 142.953.713.664 Bytes frei
 

- - End Of File - - F70F3194A6B9A76A05AC019B36166C3D

--- --- ---

VirusTotal - Free Online Virus, Malware and URL Scanner
prüfe dort:
c:\windows\system32\wininit.exe
falls datei bereits analysiert, klicke erneut prüfen, poste den ergebniss link

Zitat:

Zitat von markusg (Beitrag 559783)

VirusTotal - Free Online Virus, Malware and URL Scanner
prüfe dort:
c:\windows\system32\wininit.exe
falls datei bereits analysiert, klicke erneut prüfen, poste den ergebniss link

hmm der Link führt mich zu einer UPC Suchmaschine ...

zu einer suchmaschine...
kannst du die datei mal zu unserm file-upload hochladen dann sehe ich sie mir an.

Zitat:

Zitat von markusg (Beitrag 559792)

zu einer suchmaschine...
kannst du die datei mal zu unserm file-upload hochladen dann sehe ich sie mir an.

Hab dir jetzt c:\windows\system32\wininit.exe gesendet!

wenn du
VirusTotal - Free Online Virus, Malware and URL Scanner
besuchst kommst du auf ne komplett andere seite? frag das nur um sicher zu gehen das es keine missverständnisse gibt

Zitat:

Zitat von markusg (Beitrag 559803)

wenn du
VirusTotal - Free Online Virus, Malware and URL Scanner
besuchst kommst du auf ne komplett andere seite? frag das

Ja!

Da kommt dann immer "wxw.virustotal.com konnte nicht gefunden werden "

hxxp://suche.upc.at/upcatassist/dnsassist/main/?domain=www.virustotal.com

ok
download:
http://ad13.geekstogo.com/RootRepeal_beta.exe
trenne dann die internetverbindung, schalte aktieve programme aus.
http://ad13.geekstogo.com/RootRepeal_beta.exe
doppelklicke das programm
klicke auf report und scan,hake an:
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
klicke ok
nun wirst du gefragt welches laufwerk, klicke c: klicke ok.
wenn fertig, wähle safe report
speichere das log als RootRepeal.txt auf dem desktop
poste den inhalt.

Zitat:

Zitat von markusg (Beitrag 559806)

ok
download:
hxxp://ad13.geekstogo.com/RootRepeal_beta.exe
trenne dann die internetverbindung, schalte aktieve programme aus.
hxxp://ad13.geekstogo.com/RootRepeal_beta.exe
doppelklicke das programm
klicke auf report und scan,hake an:
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
klicke ok
nun wirst du gefragt welches laufwerk, klicke c: klicke ok.
wenn fertig, wähle safe report
speichere das log als RootRepeal.txt auf dem desktop
poste den inhalt.

Der PC stürzt immer ab wenn ich das Program ausführen will. :heulen:

Zitat:

Zitat von markusg (Beitrag 559834)

was ist mit gmer?
http://www.trojaner-board.de/74908-a...t-scanner.html

Das Programm bricht mitten im Scan auf Grund eines "unbekannten Problems" ab.

(Habs sowohl im normalen als auch im abgesicherten Bereich versucht)

ok versuche erst mal im normalen modus cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
den schnell scan abbrechen und gleich zur konfiguration kommen, das log hier hochladen:
File-Upload.net
link posten

Zitat:

Zitat von markusg (Beitrag 559872)

ok versuche erst mal im normalen modus cureit:
Dr.Web CureIt! - Paules-PC-Forum.de
den schnell scan abbrechen und gleich zur konfiguration kommen, das log hier hochladen:
File-Upload.net - Ihr kostenloser File Hoster!
link posten

Hab das gestern 5 Stunden durchlaufen lassen, gefunden wurde allerdings nichts.

Das Log wird gerade hochgeladen, aber das dauert noch ewig.

(Nur um mal Bescheid zu sagen ;-) )

Zwischenzeit:

2 Stunden Upload von Curelt Log bisher laufen gehabt

7,52 von 52,45 MB
14,35%
Geschwindigkeit: 1,38 KB/s
Verbleibende Zeit: 574:31

Ob das noch irgendwann was wird? :heulen:

a ok dann brich den upload ab. wie läuft der pc jetzt? noch probleme?

Zitat:

Zitat von markusg (Beitrag 560234)

a ok dann brich den upload ab. wie läuft der pc jetzt? noch probleme?

Nö, derzeit ist nichts zu bemerken.

Außer die Programme die von die vorgeschlagen wurden funktioniert wieder alles normal.

Und auch die Geschwindigkeit (abgesehen von dem Upload) passt auch wieder.

Ein herzliches Dankeschön!

versuch mal n upload bei irgend ner anderen seite, um zu sehen ob das n allgemeines problem ist.

Zitat:

Zitat von markusg (Beitrag 560251)

versuch mal n upload bei irgend ner anderen seite, um zu sehen ob das n allgemeines problem ist.

Ja ist das Gleiche!

Die Uploadgeschwindigkeit sinkt und sinkt und sinkt.

bei der anderen Seite habe ich aber immerhin 19% in 10 Minuten zusammengebracht, allerdings betrug die Geschwindigkeit nach den 10 Minuten nur mehr 16 Kbytes/Sec. (Tendenz ständig fallend).

Soll ich den PC mal defragmentieren?

hast du schon mal nen reset des routers versucht? ist noch n anderer pc im haushalt? tritt das problem dort auch auf?