Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Soundkarte (X-Fi Extreme Music) fliegt plötzlich nach paar minuten immer ausm windows (https://www.trojaner-board.de/73413-soundkarte-x-fi-extreme-music-fliegt-ploetzlich-paar-minuten-immer-ausm-windows.html)

De-M-oN 23.05.2009 12:05
Soundkarte (X-Fi Extreme Music) fliegt plötzlich nach paar minuten immer ausm windows
 
Habe exakt das selbe Problem wie er hier:

http://www.computerbase.de/forum/sho...d.php?t=569782

__
Ich weiß worans liegt mittlerweile (da ist jedenfalls sehr stark von auszugehen)

Weil hab festgestellt ich hab mir was eingefangen..

und Avira Antivir, sowie Spybot haben nix gefunden..

Aufgefallen war mir nämlich, das 2 so komische Dateien in meinem D:\Musik Ordner drin waren, die ich da nie reingemacht habe

So 'ne komische ohne Endung und eine .exe.
Die dann gelöscht, und am nächsten Tag seh ich die Teile wieder da drin.

Da war mir die Sache dann klar. Dann fiel mir auch auf, das die Teile überall drin sind wo ich MP3s habe..

Urplötzlich braucht mein Rechner auch gut 4 - 5 min. zum Hochfahren..

Was mir auch aufgefallen war:

Immer wenn die SK rausfliegt, baut sich Startleiste neu auf und so, also so komisch, das Bild springt so für 'ne ms und die Startleiste halt, manchma geht die dadurch auch aufs Klassisch Design zurück.
Allein da hatt ich schon so das Gefühl entwickelt, da greift doch was externes ein ...

Hier wurds mir dann auch bestätigt - Hatte eine der .exe Dateien in den Musikordnern hochgeladen:

http://www.bilder-hochladen.net/files/big/93o6-10.jpg


Hatte erstmal jetzt diese Dateien im Musikordner geöffnet mit Notepad, den Inhalt gelöscht und Schreibschutz reingemacht, da ich natürlich auch Angst um meine MP3s habe... die scheinen dem ja zu interessieren :koch:

Hab dann auch mal es mit dem Kaspersky Removal Tool probiert, aber irgendwie schmiert da der Rechner nach einer Weile ab (bzw allgemein wenn eine längere intensive Festplattenaktivität herrscht.)
Komme also nicht mal mit C:\ durch.. - Ein Prozess hat er aber zumindest gekillt bekommen C:\Windows\System32\csrcs.exe

Ich weiß auch gar nicht mehr, wo ich noch gucken soll..

Hier meine HJT Log:

http://www.xup.in/dl,99939030/85602paste.txt

und hier Systemzusammenfassung:

http://tdd666.ath.cx/files/Report.htm

Angel21 23.05.2009 12:10
Hallo,

lasse bitte Malwarebytes laufen.
Danach lässt du Superantispyware laufen.

Poste ein neues Hjt-Log, aber bitte hier rein, nicht auf einer anderen Website, hier ists besser zu lesen :)

De-M-oN 23.05.2009 15:46
So hab jetzt dann mal malwarebytes durchlaufen lassen und es kam zu diesem ergebnis:

Code:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2169
Windows 5.1.2600 Service Pack 2

23.05.2009 16:42:19
mbam-log-2009-05-23 (16-42-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|Z:\|)
Durchsuchte Objekte: 519606
Laufzeit: 3 hour(s), 22 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\senekalight (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
das sicherheitscenter jedoch war von meiner Seite aus deaktiviert worden und soll auch so bleiben, verwende andere Software

das mit dem Internet Explorer und der Hijack Homepage da kapier ich jetzt nicht
und das andere sind ja eindeutig mal Trojanerchens, mal gucken, was passiert wenn ich die kille

Angel21 23.05.2009 15:49
Bitte nochmal Superantispyware laufen lassen, das Ergebnis hier posten.

De-M-oN 24.05.2009 08:18
Den 1. Scan hab ich abgebrochen gehabt, weils mir zu lange gedauert hat (fast 3 Stunden nur für Laufwerk C: ) und habs dann stattdessen in der Nacht noch einmal gescannt, darum gibts von mir nun 2 Logs:

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/23/2009 at 09:15 PM

Application Version : 4.26.1002

Core Rules Database Version : 3908
Trace Rules Database Version: 1853

Scan type      : kompletter Scann
Total Scan Time : 03:07:36

Memory items scanned      : 541
Memory threats detected  : 0
Registry items scanned    : 407
Registry threats detected : 0
File items scanned        : 76987
File threats detected    : 38

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@track.webtrekk[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@2o7[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@www.trackmania-carpark[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@tracking.quisma[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@tacoda[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@mediainfo.sourceforge[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@adserver.71i[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@xiti[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@content.yieldmanager[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@indextools[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@advertising[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@ad.zanox[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@adtech[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@content.yieldmanager[3].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@www.zanox-affiliate[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@adopt.euroclick[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@traffictrack[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@ads.eteleon[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@zanox-affiliate[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@sevenoneintermedia.112.2o7[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@adlegend[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@adserver.terahost[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@tuifly.122.2o7[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@kupona.122.2o7[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@rambler[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@webmasterplan[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@microsoftwga.112.2o7[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@track.webtrekk[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@media.funpic[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@zanox[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@komtrack[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@mediaarea[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@ads.heias[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@trackmania-carpark[2].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@tto2.traffictrack[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@msnportal.112.2o7[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@atwola[1].txt
        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@www.etracker[2].txt
Code:
SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 05/24/2009 bei 09:08 AM

Version der Applikation : 4.26.1002

Version der Kern-Datenbank : 3908
Version der Spur-Datenbank : 1853

Scan Art      : kompletter Scann
Totale Scann-Zeit : 07:36:07

Gescannte Speicherelemente  : 415
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4871
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 396658
Erfasste Datei-Elemente  : 0
PS: Rechner fährt immer noch 5min hoch und Soundkarte fliegt auch immer noch raus, also das Kernproblem scheinen wir noch nicht gefunden zu haben :(

Hier der neue HJT Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:17:57, on 24.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Razer\DeathAdder\razerhid.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Razer\DeathAdder\razertra.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Razer\DeathAdder\razerofa.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\G15NetSpeed-0.0.6\G15NetSpeed\G15NetSpeed.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
Z:\Firefox\firefox.exe
C:\QIP-Files\452114992_purgatory\123456.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Virus Downloader
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DeathAdder] C:\Programme\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241993370487
O20 - AppInit_DLLs: \\?\globalroot\systemroot\system32\senekawi.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7904 bytes

Angel21 24.05.2009 08:26
ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

De-M-oN 24.05.2009 08:31
bevor ich weiterverfahre, ich sehe gerad:

O20 - AppInit_DLLs: \\?\globalroot\systemroot\system32\senekawi.dll

Das Ding war doch von malwarebytes als Trojaner gefunden wurden
Entweder das Ding ist wieder aufgetaucht, oder noch nen Überrest von dem

Die Datei existiert jedoch nicht in diesem Ordner

(System und verstecke Dateien anzeigen ist aktiviert)

edit: \\?\globalroot\systemroot ich ging mal davon aus, das es um mein C:\Windows\System32 Ordner geht

Angel21 24.05.2009 08:33
Malwarebytes hat es leider nicht geschafft das zu entfernen.
Führe Combofix nach der Anleitung durch.
Davor bitte mit CCleaner das System bereinigen.

De-M-oN 24.05.2009 13:41
Das Combofix hat sich bei Stufe 20 aufgehangen

Maus konnt ich noch bewegen aber es ging nicht weiter, und ich denke wenn im Programm was von 10 min scanzeit steht, und nach 5std immer noch auf Stufe 20 steht und sich nix tut, kann ich davon ausgehen das es abgeschissen ist :(

Auf jeden Fall vielen Dank schonmal für deine bisherige Hilfe!!

john.doe 24.05.2009 14:04
*kurz einspringe*

Rootkitscan mit RootRepeal
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services
    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.

ciao, andreas

De-M-oN 24.05.2009 15:16
Code:
ROOTREPEAL (c) AD, 2007-2008
==================================================
Scan Time:                        2009/05/24 16:06
Program Version:                Version 1.2.3.0
Windows Version:                Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB0CDC000        Size: 98304        File Visible: No
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7A09000        Size: 8192        File Visible: No
Status: -

Name: PCI_PNP3612
Image Path: \Driver\PCI_PNP3612
Address: 0x00000000        Size: 0        File Visible: No
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xAFFA2000        Size: 45056        File Visible: No
Status: -

Name: spct.sys
Image Path: spct.sys
Address: 0xF74D6000        Size: 1048576        File Visible: No
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000        Size: 0        File Visible: No
Status: -

Hidden/Locked Files
-------------------
Path: C:\DOOM2\INVULE~1.WAD:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
Status: Visible to the Windows API, but not on disk.

Path: C:\Dokumente und Einstellungen\Menschenfleischwolf\Anwendungsdaten\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρϴϱЄϱЃϵϳЅ
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Menschenfleischwolf\Anwendungsdaten\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρЂϻϵЉЃϵϳЅ
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Menschenfleischwolf\Lokale Einstellungen\Apps\2.0\CTP9QBYY.2VR\8K8JCBBO.MJ5\manifests\Crysis-DX10 For WinXP.exe.cdf-ms
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Menschenfleischwolf\Lokale Einstellungen\Apps\2.0\CTP9QBYY.2VR\8K8JCBBO.MJ5\manifests\Crysis-DX10 For WinXP.exe.manifest
Status: Locked to the Windows API!

SSDT
-------------------
#: 041        Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7aad53e

#: 053        Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7aad534

#: 063        Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7aad543

#: 065        Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7aad54d

#: 071        Function Name: NtEnumerateKey
Status: Hooked by "spct.sys" at address 0xf74f5ca2

#: 073        Function Name: NtEnumerateValueKey
Status: Hooked by "spct.sys" at address 0xf74f6030

#: 098        Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7aad552

#: 119        Function Name: NtOpenKey
Status: Hooked by "spct.sys" at address 0xf74d70c0

#: 122        Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7aad520

#: 128        Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7aad525

#: 160        Function Name: NtQueryKey
Status: Hooked by "spct.sys" at address 0xf74f6108

#: 177        Function Name: NtQueryValueKey
Status: Hooked by "spct.sys" at address 0xf74f5f88

#: 193        Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7aad55c

#: 204        Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7aad557

#: 247        Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7aad548

#: 257        Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf7aad52f

Stealth Objects
-------------------
Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]
Process: System        Address: 0x89b981f8        Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System        Address: 0x899081f8        Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System        Address: 0x899081f8        Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System        Address: 0x899081f8        Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System        Address: 0x899081f8        Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System        Address: 0x899081f8        Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x899081f8        Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System        Address: 0x899081f8        Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System        Address: 0x899081f8        Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System        Address: 0x899081f8        Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System        Address: 0x899081f8        Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System        Address: 0x899081f8        Size: -

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_CREATE]
Process: System        Address: 0x89b991f8        Size: -

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_CLOSE]
Process: System        Address: 0x89b991f8        Size: -

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_READ]
Process: System        Address: 0x89b991f8        Size: -

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_WRITE]
Process: System        Address: 0x89b991f8        Size: -

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_FLUSH_BUFFERS]
Process: System        Address: 0x89b991f8        Size: -

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x89b991f8        Size: -

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_SHUTDOWN]
Process: System        Address: 0x89b991f8        Size: -

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_POWER]
Process: System        Address: 0x89b991f8        Size: -

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_SYSTEM_CONTROL]
Process: System        Address: 0x89b991f8        Size: -

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_PNP]
Process: System        Address: 0x89b991f8        Size: -

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE]
Process: System        Address: 0x89c101f8        Size: -

Object: Hidden Code [Driver: atapi, IRP_MJ_CLOSE]
Process: System        Address: 0x89c101f8        Size: -

Object: Hidden Code [Driver: atapi, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x89c101f8        Size: -

Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System        Address: 0x89c101f8        Size: -

Object: Hidden Code [Driver: atapi, IRP_MJ_POWER]
Process: System        Address: 0x89c101f8        Size: -

Object: Hidden Code [Driver: atapi, IRP_MJ_SYSTEM_CONTROL]
Process: System        Address: 0x89c101f8        Size: -

Object: Hidden Code [Driver: atapi, IRP_MJ_PNP]
Process: System        Address: 0x89c101f8        Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_CREATE]
Process: System        Address: 0x89b9a1f8        Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_CLOSE]
Process: System        Address: 0x89b9a1f8        Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_READ]
Process: System        Address: 0x89b9a1f8        Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_WRITE]
Process: System        Address: 0x89b9a1f8        Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_FLUSH_BUFFERS]
Process: System        Address: 0x89b9a1f8        Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x89b9a1f8        Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System        Address: 0x89b9a1f8        Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_SHUTDOWN]
Process: System        Address: 0x89b9a1f8        Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_POWER]
Process: System        Address: 0x89b9a1f8        Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_SYSTEM_CONTROL]
Process: System        Address: 0x89b9a1f8        Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_PNP]
Process: System        Address: 0x89b9a1f8        Size: -

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CREATE]
Process: System        Address: 0x898f41f8        Size: -

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CLOSE]
Process: System        Address: 0x898f41f8        Size: -

Object: Hidden Code [Driver: usbuhci, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x898f41f8        Size: -

Object: Hidden Code [Driver: usbuhci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System        Address: 0x898f41f8        Size: -

Object: Hidden Code [Driver: usbuhci, IRP_MJ_POWER]
Process: System        Address: 0x898f41f8        Size: -

Object: Hidden Code [Driver: usbuhci, IRP_MJ_SYSTEM_CONTROL]
Process: System        Address: 0x898f41f8        Size: -

Object: Hidden Code [Driver: usbuhci, IRP_MJ_PNP]
Process: System        Address: 0x898f41f8        Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]
Process: System        Address: 0x89c111f8        Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]
Process: System        Address: 0x89c111f8        Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]
Process: System        Address: 0x89c111f8        Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]
Process: System        Address: 0x89c111f8        Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x89c111f8        Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System        Address: 0x89c111f8        Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]
Process: System        Address: 0x89c111f8        Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]
Process: System        Address: 0x89c111f8        Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]
Process: System        Address: 0x89c111f8        Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]
Process: System        Address: 0x89c111f8        Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]
Process: System        Address: 0x89c111f8        Size: -

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_CREATE]
Process: System        Address: 0x897531f8        Size: -

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_CLOSE]
Process: System        Address: 0x897531f8        Size: -

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x897531f8        Size: -

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System        Address: 0x897531f8        Size: -

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_POWER]
Process: System        Address: 0x897531f8        Size: -

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_SYSTEM_CONTROL]
Process: System        Address: 0x897531f8        Size: -

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_PNP]
Process: System        Address: 0x897531f8        Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]
Process: System        Address: 0x879101f8        Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]
Process: System        Address: 0x879101f8        Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x879101f8        Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System        Address: 0x879101f8        Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]
Process: System        Address: 0x879101f8        Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]
Process: System        Address: 0x879101f8        Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]
Process: System        Address: 0x8995c1f8        Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]
Process: System        Address: 0x8995c1f8        Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x8995c1f8        Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System        Address: 0x8995c1f8        Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]
Process: System        Address: 0x8995c1f8        Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]
Process: System        Address: 0x8995c1f8        Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]
Process: System        Address: 0x8995c1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]
Process: System        Address: 0x878df1f8        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_CREATE]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_CLOSE]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_READ]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_QUERY_INFORMATION]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_SET_INFORMATION]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_DIRECTORY_CONTROL]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_DEVICE_CONTROL]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_SHUTDOWN]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_LOCK_CONTROL]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_CLEANUP]
Process: System        Address: 0x878ad500        Size: -

Object: Hidden Code [Driver: Cry, IRP_MJ_PNP]
Process: System        Address: 0x878ad500        Size: -

Angel21 24.05.2009 15:36
Downloade dir Combofix nochmal neu herunter.
Versuche das dann nochmal und poste.

De-M-oN 24.05.2009 15:52
Dein editierten Post hab ich nicht mehr gelesen, aber macht nix, diesmal gings

da post zu lang, hier ersichtlich:

http://tdd666.ath.cx/files/combofix.txt

Angel21 24.05.2009 16:02
Seit wann hast Du die Probleme schon? (möglichst genau bitte)

Lade bitte diese Datei
Zitat:
c:\windows\system32\Bifrost\svchost.exe
bei Virustotal.com hoch. Poste das Ergebnis hier.

De-M-oN 24.05.2009 16:06
Seit Freitag den 8. Mai 2009


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:47 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19