Trojaner-Board - Soundkarte (X-Fi Extreme Music) fliegt plötzlich nach paar minuten immer ausm windows

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Soundkarte (X-Fi Extreme Music) fliegt plötzlich nach paar minuten immer ausm windows (https://www.trojaner-board.de/73413-soundkarte-x-fi-extreme-music-fliegt-ploetzlich-paar-minuten-immer-ausm-windows.html)

Soundkarte (X-Fi Extreme Music) fliegt plötzlich nach paar minuten immer ausm windows

Habe exakt das selbe Problem wie er hier:

http://www.computerbase.de/forum/sho...d.php?t=569782

__
Ich weiß worans liegt mittlerweile (da ist jedenfalls sehr stark von auszugehen)

Weil hab festgestellt ich hab mir was eingefangen..

und Avira Antivir, sowie Spybot haben nix gefunden..

Aufgefallen war mir nämlich, das 2 so komische Dateien in meinem D:\Musik Ordner drin waren, die ich da nie reingemacht habe

So 'ne komische ohne Endung und eine .exe.
Die dann gelöscht, und am nächsten Tag seh ich die Teile wieder da drin.

Da war mir die Sache dann klar. Dann fiel mir auch auf, das die Teile überall drin sind wo ich MP3s habe..

Urplötzlich braucht mein Rechner auch gut 4 - 5 min. zum Hochfahren..

Was mir auch aufgefallen war:

Immer wenn die SK rausfliegt, baut sich Startleiste neu auf und so, also so komisch, das Bild springt so für 'ne ms und die Startleiste halt, manchma geht die dadurch auch aufs Klassisch Design zurück.
Allein da hatt ich schon so das Gefühl entwickelt, da greift doch was externes ein ...

Hier wurds mir dann auch bestätigt - Hatte eine der .exe Dateien in den Musikordnern hochgeladen:

http://www.bilder-hochladen.net/files/big/93o6-10.jpg

Hatte erstmal jetzt diese Dateien im Musikordner geöffnet mit Notepad, den Inhalt gelöscht und Schreibschutz reingemacht, da ich natürlich auch Angst um meine MP3s habe... die scheinen dem ja zu interessieren :koch:

Hab dann auch mal es mit dem Kaspersky Removal Tool probiert, aber irgendwie schmiert da der Rechner nach einer Weile ab (bzw allgemein wenn eine längere intensive Festplattenaktivität herrscht.)
Komme also nicht mal mit C:\ durch.. - Ein Prozess hat er aber zumindest gekillt bekommen C:\Windows\System32\csrcs.exe

Ich weiß auch gar nicht mehr, wo ich noch gucken soll..

Hier meine HJT Log:

http://www.xup.in/dl,99939030/85602paste.txt

und hier Systemzusammenfassung:

http://tdd666.ath.cx/files/Report.htm

Hallo,

lasse bitte Malwarebytes laufen.
Danach lässt du Superantispyware laufen.

Poste ein neues Hjt-Log, aber bitte hier rein, nicht auf einer anderen Website, hier ists besser zu lesen :)

So hab jetzt dann mal malwarebytes durchlaufen lassen und es kam zu diesem ergebnis:

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2169

Windows 5.1.2600 Service Pack 2
 

23.05.2009 16:42:19

mbam-log-2009-05-23 (16-42-11).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|Z:\|)

Durchsuchte Objekte: 519606

Laufzeit: 3 hour(s), 22 minute(s), 29 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 4

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\senekalight (Trojan.Agent) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.

das sicherheitscenter jedoch war von meiner Seite aus deaktiviert worden und soll auch so bleiben, verwende andere Software

das mit dem Internet Explorer und der Hijack Homepage da kapier ich jetzt nicht
und das andere sind ja eindeutig mal Trojanerchens, mal gucken, was passiert wenn ich die kille

Bitte nochmal Superantispyware laufen lassen, das Ergebnis hier posten.

Den 1. Scan hab ich abgebrochen gehabt, weils mir zu lange gedauert hat (fast 3 Stunden nur für Laufwerk C: ) und habs dann stattdessen in der Nacht noch einmal gescannt, darum gibts von mir nun 2 Logs:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 05/23/2009 at 09:15 PM
 

Application Version : 4.26.1002
 

Core Rules Database Version : 3908

Trace Rules Database Version: 1853
 

Scan type       : kompletter Scann

Total Scan Time : 03:07:36
 

Memory items scanned      : 541

Memory threats detected   : 0

Registry items scanned    : 407

Registry threats detected : 0

File items scanned        : 76987

File threats detected     : 38
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@track.webtrekk[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@2o7[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@www.trackmania-carpark[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@tracking.quisma[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@tacoda[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@mediainfo.sourceforge[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@adserver.71i[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@xiti[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@content.yieldmanager[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@indextools[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@advertising[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@ad.zanox[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@adtech[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@content.yieldmanager[3].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@www.zanox-affiliate[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@adopt.euroclick[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@traffictrack[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@ads.eteleon[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@sevenoneintermedia.112.2o7[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@adlegend[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@adserver.terahost[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@tuifly.122.2o7[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@kupona.122.2o7[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@rambler[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@webmasterplan[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@microsoftwga.112.2o7[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@track.webtrekk[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@media.funpic[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@zanox[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@komtrack[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@mediaarea[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@ads.heias[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@trackmania-carpark[2].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@tto2.traffictrack[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@msnportal.112.2o7[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@atwola[1].txt

        C:\Dokumente und Einstellungen\Menschenfleischwolf\Cookies\menschenfleischwolf@www.etracker[2].txt

Code:

SUPERAntiSpyware Scann-Protokoll

http://www.superantispyware.com
 

Generiert 05/24/2009 bei 09:08 AM
 

Version der Applikation : 4.26.1002
 

Version der Kern-Datenbank : 3908

Version der Spur-Datenbank : 1853
 

Scan Art       : kompletter Scann

Totale Scann-Zeit : 07:36:07
 

Gescannte Speicherelemente  : 415

Erfasste Speicher-Bedrohungen  : 0

Gescannte Register-Elemente  : 4871

Erfasste Register-Bedrohungen  : 0

Gescannte Datei-Elemente     : 396658

Erfasste Datei-Elemente   : 0

PS: Rechner fährt immer noch 5min hoch und Soundkarte fliegt auch immer noch raus, also das Kernproblem scheinen wir noch nicht gefunden zu haben :(

Hier der neue HJT Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:17:57, on 24.05.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20696)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Razer\DeathAdder\razerhid.exe

C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\NetLimiter 2 Pro\nlsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Razer\DeathAdder\razertra.exe

C:\WINDOWS\system32\oodag.exe

C:\Programme\Razer\DeathAdder\razerofa.exe

C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe

C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\G15NetSpeed-0.0.6\G15NetSpeed\G15NetSpeed.exe

C:\WINDOWS\CTHELPER.EXE

C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe

C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe

C:\WINDOWS\system32\CTXFIHLP.EXE

C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\SYSTEM32\CTXFISPI.EXE

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

Z:\Firefox\firefox.exe

C:\QIP-Files\452114992_purgatory\123456.com
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Virus Downloader

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DeathAdder] C:\Programme\Razer\DeathAdder\razerhid.exe

O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.09\RivaTuner.exe" /S

O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"

O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe

O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241993370487

O20 - AppInit_DLLs: \\?\globalroot\systemroot\system32\senekawi.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
 

--

End of file - 7904 bytes

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

bevor ich weiterverfahre, ich sehe gerad:

O20 - AppInit_DLLs: \\?\globalroot\systemroot\system32\senekawi.dll

Das Ding war doch von malwarebytes als Trojaner gefunden wurden
Entweder das Ding ist wieder aufgetaucht, oder noch nen Überrest von dem

Die Datei existiert jedoch nicht in diesem Ordner

(System und verstecke Dateien anzeigen ist aktiviert)

edit: \\?\globalroot\systemroot ich ging mal davon aus, das es um mein C:\Windows\System32 Ordner geht

Malwarebytes hat es leider nicht geschafft das zu entfernen.
Führe Combofix nach der Anleitung durch.
Davor bitte mit CCleaner das System bereinigen.

Das Combofix hat sich bei Stufe 20 aufgehangen

Maus konnt ich noch bewegen aber es ging nicht weiter, und ich denke wenn im Programm was von 10 min scanzeit steht, und nach 5std immer noch auf Stufe 20 steht und sich nix tut, kann ich davon ausgehen das es abgeschissen ist :(

Auf jeden Fall vielen Dank schonmal für deine bisherige Hilfe!!

*kurz einspringe*

Rootkitscan mit RootRepeal

Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
Entpacke die Datei auf Deinen Desktop.
Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
Wähle C:\ und klicke wieder Ok.
Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
Wenn der Suchlauf beendet ist, klicke auf Save Report.
Speichere das Logfile als RootRepeal.txt auf dem Desktop.
Kopiere den Inhalt hier in den Thread.

ciao, andreas

Code:

ROOTREPEAL (c) AD, 2007-2008

==================================================

Scan Time:                        2009/05/24 16:06

Program Version:                Version 1.2.3.0

Windows Version:                Windows XP SP2

==================================================
 

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xB0CDC000        Size: 98304        File Visible: No

Status: -
 

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xF7A09000        Size: 8192        File Visible: No

Status: -
 

Name: PCI_PNP3612

Image Path: \Driver\PCI_PNP3612

Address: 0x00000000        Size: 0        File Visible: No

Status: -
 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xAFFA2000        Size: 45056        File Visible: No

Status: -
 

Name: spct.sys

Image Path: spct.sys

Address: 0xF74D6000        Size: 1048576        File Visible: No

Status: -
 

Name: sptd

Image Path: \Driver\sptd

Address: 0x00000000        Size: 0        File Visible: No

Status: -
 

Hidden/Locked Files

-------------------

Path: C:\DOOM2\INVULE~1.WAD:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

Status: Visible to the Windows API, but not on disk.
 

Path: C:\Dokumente und Einstellungen\Menschenfleischwolf\Anwendungsdaten\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρϴϱЄϱЃϵϳЅ 

Status: Locked to the Windows API!
 

Path: C:\Dokumente und Einstellungen\Menschenfleischwolf\Anwendungsdaten\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρЂϻϵЉЃϵϳЅ 

Status: Locked to the Windows API!
 

Path: C:\Dokumente und Einstellungen\Menschenfleischwolf\Lokale Einstellungen\Apps\2.0\CTP9QBYY.2VR\8K8JCBBO.MJ5\manifests\Crysis-DX10 For WinXP.exe.cdf-ms

Status: Locked to the Windows API!
 

Path: C:\Dokumente und Einstellungen\Menschenfleischwolf\Lokale Einstellungen\Apps\2.0\CTP9QBYY.2VR\8K8JCBBO.MJ5\manifests\Crysis-DX10 For WinXP.exe.manifest

Status: Locked to the Windows API!
 

SSDT

-------------------

#: 041        Function Name: NtCreateKey

Status: Hooked by "<unknown>" at address 0xf7aad53e
 

#: 053        Function Name: NtCreateThread

Status: Hooked by "<unknown>" at address 0xf7aad534
 

#: 063        Function Name: NtDeleteKey

Status: Hooked by "<unknown>" at address 0xf7aad543
 

#: 065        Function Name: NtDeleteValueKey

Status: Hooked by "<unknown>" at address 0xf7aad54d
 

#: 071        Function Name: NtEnumerateKey

Status: Hooked by "spct.sys" at address 0xf74f5ca2
 

#: 073        Function Name: NtEnumerateValueKey

Status: Hooked by "spct.sys" at address 0xf74f6030
 

#: 098        Function Name: NtLoadKey

Status: Hooked by "<unknown>" at address 0xf7aad552
 

#: 119        Function Name: NtOpenKey

Status: Hooked by "spct.sys" at address 0xf74d70c0
 

#: 122        Function Name: NtOpenProcess

Status: Hooked by "<unknown>" at address 0xf7aad520
 

#: 128        Function Name: NtOpenThread

Status: Hooked by "<unknown>" at address 0xf7aad525
 

#: 160        Function Name: NtQueryKey

Status: Hooked by "spct.sys" at address 0xf74f6108
 

#: 177        Function Name: NtQueryValueKey

Status: Hooked by "spct.sys" at address 0xf74f5f88
 

#: 193        Function Name: NtReplaceKey

Status: Hooked by "<unknown>" at address 0xf7aad55c
 

#: 204        Function Name: NtRestoreKey

Status: Hooked by "<unknown>" at address 0xf7aad557
 

#: 247        Function Name: NtSetValueKey

Status: Hooked by "<unknown>" at address 0xf7aad548
 

#: 257        Function Name: NtTerminateProcess

Status: Hooked by "<unknown>" at address 0xf7aad52f
 

Stealth Objects

-------------------

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]

Process: System        Address: 0x89b981f8        Size: -
 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]

Process: System        Address: 0x899081f8        Size: -
 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]

Process: System        Address: 0x899081f8        Size: -
 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]

Process: System        Address: 0x899081f8        Size: -
 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]

Process: System        Address: 0x899081f8        Size: -
 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]

Process: System        Address: 0x899081f8        Size: -
 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x899081f8        Size: -
 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System        Address: 0x899081f8        Size: -
 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]

Process: System        Address: 0x899081f8        Size: -
 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]

Process: System        Address: 0x899081f8        Size: -
 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]

Process: System        Address: 0x899081f8        Size: -
 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]

Process: System        Address: 0x899081f8        Size: -
 

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_CREATE]

Process: System        Address: 0x89b991f8        Size: -
 

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_CLOSE]

Process: System        Address: 0x89b991f8        Size: -
 

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_READ]

Process: System        Address: 0x89b991f8        Size: -
 

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_WRITE]

Process: System        Address: 0x89b991f8        Size: -
 

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_FLUSH_BUFFERS]

Process: System        Address: 0x89b991f8        Size: -
 

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x89b991f8        Size: -
 

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_SHUTDOWN]

Process: System        Address: 0x89b991f8        Size: -
 

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_POWER]

Process: System        Address: 0x89b991f8        Size: -
 

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_SYSTEM_CONTROL]

Process: System        Address: 0x89b991f8        Size: -
 

Object: Hidden Code [Driver: SscRdBus, IRP_MJ_PNP]

Process: System        Address: 0x89b991f8        Size: -
 

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE]

Process: System        Address: 0x89c101f8        Size: -
 

Object: Hidden Code [Driver: atapi, IRP_MJ_CLOSE]

Process: System        Address: 0x89c101f8        Size: -
 

Object: Hidden Code [Driver: atapi, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x89c101f8        Size: -
 

Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System        Address: 0x89c101f8        Size: -
 

Object: Hidden Code [Driver: atapi, IRP_MJ_POWER]

Process: System        Address: 0x89c101f8        Size: -
 

Object: Hidden Code [Driver: atapi, IRP_MJ_SYSTEM_CONTROL]

Process: System        Address: 0x89c101f8        Size: -
 

Object: Hidden Code [Driver: atapi, IRP_MJ_PNP]

Process: System        Address: 0x89c101f8        Size: -
 

Object: Hidden Code [Driver: dmio, IRP_MJ_CREATE]

Process: System        Address: 0x89b9a1f8        Size: -
 

Object: Hidden Code [Driver: dmio, IRP_MJ_CLOSE]

Process: System        Address: 0x89b9a1f8        Size: -
 

Object: Hidden Code [Driver: dmio, IRP_MJ_READ]

Process: System        Address: 0x89b9a1f8        Size: -
 

Object: Hidden Code [Driver: dmio, IRP_MJ_WRITE]

Process: System        Address: 0x89b9a1f8        Size: -
 

Object: Hidden Code [Driver: dmio, IRP_MJ_FLUSH_BUFFERS]

Process: System        Address: 0x89b9a1f8        Size: -
 

Object: Hidden Code [Driver: dmio, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x89b9a1f8        Size: -
 

Object: Hidden Code [Driver: dmio, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System        Address: 0x89b9a1f8        Size: -
 

Object: Hidden Code [Driver: dmio, IRP_MJ_SHUTDOWN]

Process: System        Address: 0x89b9a1f8        Size: -
 

Object: Hidden Code [Driver: dmio, IRP_MJ_POWER]

Process: System        Address: 0x89b9a1f8        Size: -
 

Object: Hidden Code [Driver: dmio, IRP_MJ_SYSTEM_CONTROL]

Process: System        Address: 0x89b9a1f8        Size: -
 

Object: Hidden Code [Driver: dmio, IRP_MJ_PNP]

Process: System        Address: 0x89b9a1f8        Size: -
 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CREATE]

Process: System        Address: 0x898f41f8        Size: -
 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CLOSE]

Process: System        Address: 0x898f41f8        Size: -
 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x898f41f8        Size: -
 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System        Address: 0x898f41f8        Size: -
 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_POWER]

Process: System        Address: 0x898f41f8        Size: -
 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_SYSTEM_CONTROL]

Process: System        Address: 0x898f41f8        Size: -
 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_PNP]

Process: System        Address: 0x898f41f8        Size: -
 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]

Process: System        Address: 0x89c111f8        Size: -
 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]

Process: System        Address: 0x89c111f8        Size: -
 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]

Process: System        Address: 0x89c111f8        Size: -
 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]

Process: System        Address: 0x89c111f8        Size: -
 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x89c111f8        Size: -
 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System        Address: 0x89c111f8        Size: -
 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]

Process: System        Address: 0x89c111f8        Size: -
 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]

Process: System        Address: 0x89c111f8        Size: -
 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]

Process: System        Address: 0x89c111f8        Size: -
 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]

Process: System        Address: 0x89c111f8        Size: -
 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]

Process: System        Address: 0x89c111f8        Size: -
 

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_CREATE]

Process: System        Address: 0x897531f8        Size: -
 

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_CLOSE]

Process: System        Address: 0x897531f8        Size: -
 

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x897531f8        Size: -
 

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System        Address: 0x897531f8        Size: -
 

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_POWER]

Process: System        Address: 0x897531f8        Size: -
 

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_SYSTEM_CONTROL]

Process: System        Address: 0x897531f8        Size: -
 

Object: Hidden Code [Driver: ai4li3mnȅఇ牐牣,ꘘ覽물물, IRP_MJ_PNP]

Process: System        Address: 0x897531f8        Size: -
 

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]

Process: System        Address: 0x879101f8        Size: -
 

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]

Process: System        Address: 0x879101f8        Size: -
 

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x879101f8        Size: -
 

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System        Address: 0x879101f8        Size: -
 

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]

Process: System        Address: 0x879101f8        Size: -
 

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]

Process: System        Address: 0x879101f8        Size: -
 

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]

Process: System        Address: 0x8995c1f8        Size: -
 

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]

Process: System        Address: 0x8995c1f8        Size: -
 

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x8995c1f8        Size: -
 

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System        Address: 0x8995c1f8        Size: -
 

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]

Process: System        Address: 0x8995c1f8        Size: -
 

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]

Process: System        Address: 0x8995c1f8        Size: -
 

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]

Process: System        Address: 0x8995c1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]

Process: System        Address: 0x878df1f8        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_CREATE]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_CLOSE]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_READ]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_QUERY_INFORMATION]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_SET_INFORMATION]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_QUERY_VOLUME_INFORMATION]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_DIRECTORY_CONTROL]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_FILE_SYSTEM_CONTROL]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_DEVICE_CONTROL]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_SHUTDOWN]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_LOCK_CONTROL]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_CLEANUP]

Process: System        Address: 0x878ad500        Size: -
 

Object: Hidden Code [Driver: Cry, IRP_MJ_PNP]

Process: System        Address: 0x878ad500        Size: -

Downloade dir Combofix nochmal neu herunter.
Versuche das dann nochmal und poste.

Dein editierten Post hab ich nicht mehr gelesen, aber macht nix, diesmal gings

da post zu lang, hier ersichtlich:

http://tdd666.ath.cx/files/combofix.txt

Seit wann hast Du die Probleme schon? (möglichst genau bitte)

Lade bitte diese Datei

Zitat:

c:\windows\system32\Bifrost\svchost.exe

bei Virustotal.com hoch. Poste das Ergebnis hier.

Seit Freitag den 8. Mai 2009

Hattest du vor dem 8. Mai schon irgendwelche Sonderheiten festgestellt oder ähnliches?
Irgendetwas was auffällig war?
Irgendeine Merkwürdigkeit?

Nö, alles bestens

Den Ordner bifrost gibts bei mir nicht

Lade bitte diese Datei:

Zitat:

c:\windows\system32\Bifrost\svchost.exe

bei Virustotal.com hoch. Poste das Ergebnis hier.

Wie gesagt:

Der Ordner bifrost ist nicht existent

Hast du auch "Alle Datein anzeigen lassen" in deinem Menü?

Das ist so ziemlich das erste was ich nach Installation von Windows mache:

bekannte Dateiendungen einblenden lassen
punkt auf "Alle Dateien anzeigen"
haken weg: geschütze systemdateien ausblenden

Zudem verwende ich statt den Explorer/Arbeitsplatz eh den Total Commander

Da wird mir eh alles angezeigt ;)

Und der Ordner existiert nicht

Auch wenn ich den pfad kopiere und beim durchsuchen dings von virustotal einfüge, sagt er pfad stimmt nicht - weil der ordner halt nicht existiert ;)

Da du diesen hier: http://en.wikipedia.org/wiki/Bifrost_(trojan_horse) drauf hattest, wäre es sicherer, dass du neuaufsetzen solltest.

Hier der Link zum neu aufsetzen des Systems: http://www.trojaner-board.de/51262-a...sicherung.html

Du kannst alle Bilddatein, Musikdatein und Dokumentdatein sichern.
Stelle aber sicher, bevor diese auf das frische System gelangen, dass sie sauber sind, Antivirscan.
Des Weiteren würde ich dir nach dem neuaufsetzen anraten dringenst und unverzüglich deine Kenn- und Passwörter zu ändern!

o.O

Was ist das denn für'ne scheiße? o.O

Das teil sieht ja ma alles andere als ungefährlich aus -.-

Hmm ja ich erinnere mich

Das Ding hat vor längerer zeit Spybot gefunden und gekillt gehabt

Wie lange das nun aber her war, weiß ich jetzt nicht mehr, aber auf jeden Fall bei weitem länger als das jetzige Problem

Zitat:

Zitat von De-M-oN (Beitrag 438178)

o.O

Was ist das denn für'ne scheiße? o.O

Das teil sieht ja ma alles andere als ungefährlich aus -.-

Deswegen wäre neuaufsetzen die beste Lösung.

Habe nun mein System neu gemacht

Also das Sichern meiner Daten war ja auch die reinste Qual..

Hab den Grund warum das Booten so Ewigkeiten gedauert hatte und alles allgemein so lahm war..

Wenn die Platten auf 1,5 MB/s - 2 MB/s runtergebremst waren, dann ist das ja auch kein Wunder :balla:

Naja nun nach Neuaufsetzen laufen sie wieder auf 28 MB/s

Aber die Soundkarte fliegt immer noch raus -.- :headbang:

Also langsam kotzt mich das echt an :koch:
Jetzt bin ich langsam ratlos :(

Zu der Soundkarte, hast du alle Treiber entsprechend installiert?

Ist die Soundkarte an sich okay?

Ja.

Treiber so wie immer installiert.

Vorm Neuaufsetzen auch andere Treiber probiert gehabt ( Neuere Version & den PAX Treiber )

Da passiert das aber ebenfalls..

Die Soundkarte ist vollkommen in Ordnung

Sofern ich die Anwendung vorm Rausfliegen der Soundkarte starte und somit diese Anwendung die Soundkarte findet (z.B. Unreal Tournament 2004) dann hab ich dort auch Ton und das auch mit EAX, Crystallizer usw, so wie es sein soll

Mein Winamp läuft auch nach Rausfliegen der Karte noch, aber das liegt daran, das Winamp die trotzdem noch findet (Lob an Winamp :teufel3: )

Also das zeigt ja, das die Karte nicht kaputt sein kann eigentlich..

Desweiteren wird sie im Gerätemanager angezeigt und als funktionstüchtig und betriebsbereit erkannt, auch der SK-Treiber findet die Karte
Nur bei Sounds und Audiogeräte in Systemsteuerung, da knallt sie jedes mal raus.

Und das Problem tauchte urplötzlich auf, ohne jegliche Veränderung am System, und jetzt nachm Neuaufsetzen ist es ja umso seltsamer, das das Problem immer noch da ist.

Es lief etliche Monate perfekt, ich versteh kein Stück, wieso das jetzt auf einmal so'ne Macken hat :eek:

Dazu müsste ich dich mal an dem Bereich "Netzwerk und Hardware" weiterleiten, verlinke diesen Post und setz dazu ein neuen Thread mit den gewünschten Angaben wie Hardware-Angaben etc.

hier die Verlinkung: Netzwerk und Hardware - Trojaner-Board
Der erste Thread sind die nötigen Angaben, die dazu gebraucht werden.

Hoffe ich kann dir damit etwas weiterhelfen, die Leute dort wissen sicher mehr bescheid.