Trojaner-Board - System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - System hängt, Avira & Malwarebytes crash nach Trojanerfund durch Avira (https://www.trojaner-board.de/83736-system-haengt-avira-malwarebytes-crash-trojanerfund-avira.html)

Zum Taskmanager:

Editor öffnen, folgenden Text reinkopieren:

Code:

reg ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

als "test.bat" auf dem Desktop abspeichern (Dateityp: "Alle Dateien" auswählen). Dann mit Doppelklick ausführen - TM sollte wieder funktionieren.

Konntest du die svchost.exe schon hochladen?

An der angegebenen Stelle gab es keine svchost.exe, aber an 4 anderen Stellen:

1. Windows/system32/dllcache:
http://www.virustotal.com/de/analisi...ef0-1268599462
In dem Ergebnis sah ich was von esafe win32.TrojanHorse

2. Windows/system32:
http://www.virustotal.com/de/analisi...ef0-1268599641
In dem Ergebnis sah ich was von esafe win32.TrojanHorse

3. Windows ... servicpackfiles:
http://www.virustotal.com/de/analisi...ef0-1268599977
In dem Ergebnis sah ich was von esafe win32.TrojanHorse

4. Windows ... NTservicepack
http://www.virustotal.com/de/analisi...bf5-1268600137

Ein neues Ergebnis von GMER (ohne AV guard und Absturz) habe ich eigentlich auch, aber es lässt sich zwar in den Editor pasten, die Datei aber nicht speichern: Bei Wahl von Speichern unter kommt nur das Uhrglas dann ist der Editor blockiert. :crazy:

Jetzt hat's doch noch gaaaaanzzzz langsaaaam geklappt:

Code:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-03-14 21:47:32

Windows 5.1.2600 Service Pack 3

Running: htuqx7mx.exe; Driver: C:\DOKUME~1\Winfried\LOKALE~1\Temp\kwrdqaow.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            A1B20356                                                                               ZwCreateKey

SSDT            A1B2034C                                                                               ZwCreateThread

SSDT            A1B2035B                                                                               ZwDeleteKey

SSDT            A1B20365                                                                               ZwDeleteValueKey

SSDT            A1B2036A                                                                               ZwLoadKey

SSDT            A1B20338                                                                               ZwOpenProcess

SSDT            A1B2033D                                                                               ZwOpenThread

SSDT            A1B20374                                                                               ZwReplaceKey

SSDT            A1B2036F                                                                               ZwRestoreKey

SSDT            A1B20360                                                                               ZwSetValueKey

SSDT            A1B20347                                                                               ZwTerminateProcess
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!closesocket                              71A13E2B 5 Bytes  JMP 00DB28B1 

.text           C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!send                                     71A14C27 5 Bytes  JMP 00DB273D 

.text           C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!WSARecv                                  71A14CB5 5 Bytes  JMP 00DB282F 

.text           C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!recv                                     71A1676F 5 Bytes  JMP 00DB2775 

.text           C:\WINDOWS\system32\hkcmd.exe[316] WS2_32.dll!WSASend                                  71A168FA 5 Bytes  JMP 00DB27AD 

.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!closesocket                  71A13E2B 5 Bytes  JMP 013128B1 

.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!send                         71A14C27 5 Bytes  JMP 0131273D 

.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!WSARecv                      71A14CB5 5 Bytes  JMP 0131282F 

.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!recv                         71A1676F 5 Bytes  JMP 01312775 

.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[328] WS2_32.dll!WSASend                      71A168FA 5 Bytes  JMP 013127AD 

.text           C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!closesocket          71A13E2B 5 Bytes  JMP 011828B1 

.text           C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!send                 71A14C27 5 Bytes  JMP 0118273D 

.text           C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!WSARecv              71A14CB5 5 Bytes  JMP 0118282F 

.text           C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!recv                 71A1676F 5 Bytes  JMP 01182775 

.text           C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe[472] WS2_32.dll!WSASend              71A168FA 5 Bytes  JMP 011827AD 

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!closesocket              71A13E2B 5 Bytes  JMP 019C28B1 

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!send                     71A14C27 5 Bytes  JMP 019C273D 

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!WSARecv                  71A14CB5 5 Bytes  JMP 019C282F 

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!recv                     71A1676F 5 Bytes  JMP 019C2775 

.text           C:\Programme\Avira\AntiVir Desktop\sched.exe[1632] WS2_32.dll!WSASend                  71A168FA 5 Bytes  JMP 019C27AD 

.text           C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!closesocket            71A13E2B 5 Bytes  JMP 01E528B1 

.text           C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!send                   71A14C27 5 Bytes  JMP 01E5273D 

.text           C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!WSARecv                71A14CB5 5 Bytes  JMP 01E5282F 

.text           C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!recv                   71A1676F 5 Bytes  JMP 01E52775 

.text           C:\Programme\Avira\AntiVir Desktop\avguard.exe[1644] WS2_32.dll!WSASend                71A168FA 5 Bytes  JMP 01E527AD 

.text           C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!closesocket                                   71A13E2B 5 Bytes  JMP 01A928B1 

.text           C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!send                                          71A14C27 5 Bytes  JMP 01A9273D 

.text           C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!WSARecv                                       71A14CB5 5 Bytes  JMP 01A9282F 

.text           C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!recv                                          71A1676F 5 Bytes  JMP 01A92775 

.text           C:\WINDOWS\Explorer.EXE[1972] WS2_32.dll!WSASend                                       71A168FA 5 Bytes  JMP 01A927AD 

.text           C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!closesocket                               71A13E2B 5 Bytes  JMP 00CC28B1 

.text           C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!send                                      71A14C27 5 Bytes  JMP 00CC273D 

.text           C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!WSARecv                                   71A14CB5 5 Bytes  JMP 00CC282F 

.text           C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!recv                                      71A1676F 5 Bytes  JMP 00CC2775 

.text           C:\WINDOWS\System32\alg.exe[2944] WS2_32.dll!WSASend                                   71A168FA 5 Bytes  JMP 00CC27AD 

.text           C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!closesocket                           71A13E2B 5 Bytes  JMP 00FC28B1 

.text           C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!send                                  71A14C27 5 Bytes  JMP 00FC273D 

.text           C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!WSARecv                               71A14CB5 5 Bytes  JMP 00FC282F 

.text           C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!recv                                  71A1676F 5 Bytes  JMP 00FC2775 

.text           C:\WINDOWS\system32\wuauclt.exe[3712] WS2_32.dll!WSASend                               71A168FA 5 Bytes  JMP 00FC27AD 
 

---- Devices - GMER 1.0.15 ----
 

Device          \Driver\ACPI \Device\0000009c                                                          86437850
 

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
 

Device          \Driver\ACPI \Device\0000009f                                                          86437850

Device          \Driver\ACPI \Device\00000050                                                          86437850

Device          \Driver\ACPI \Device\00000051                                                          86437850

Device          \Driver\ACPI \Device\00000052                                                          86437850

Device          \Driver\ACPI \Device\00000053                                                          86437850

Device          \Driver\ACPI \Device\00000060                                                          86437850

Device          \Driver\ACPI \Device\00000062                                                          86437850

Device          \Driver\ACPI \Device\00000057                                                          86437850

Device          \Driver\ACPI \Device\00000072                                                          86437850

Device          \Driver\ACPI \Device\00000059                                                          86437850

Device          \Driver\ACPI \Device\00000073                                                          86437850

Device          \Driver\ACPI \Device\00000066                                                          86437850

Device          \Driver\ACPI \Device\00000075                                                          86437850

Device          \Driver\ACPI \Device\00000069                                                          86437850

Device          \Driver\ACPI \Device\00000076                                                          86437850

Device          \Driver\ACPI \Device\0000004a                                                          86437850

Device          \Driver\ACPI \Device\00000077                                                          86437850

Device          \Driver\ACPI \Device\00000078                                                          86437850

Device          \Driver\ACPI \Device\0000004b                                                          86437850

Device          \Driver\ACPI \Device\0000004c                                                          86437850

Device          \Driver\ACPI \Device\0000004d                                                          86437850

Device          \Driver\ACPI \Device\00000094                                                          86437850

Device          \Driver\ACPI \Device\0000004e                                                          86437850

Device          \Driver\ACPI \Device\0000005b                                                          86437850

Device          \Driver\ACPI \Device\0000004f                                                          86437850

Device          \Driver\ACPI \Device\0000005c                                                          86437850

Device          \Driver\ACPI \Device\00000096                                                          86437850

Device          \Driver\ACPI \Device\0000005d                                                          86437850

Device          \Driver\ACPI \Device\0000006a                                                          86437850

Device          \Driver\ACPI \Device\0000005e                                                          86437850

Device          \Driver\ACPI \Device\00000098                                                          86437850

Device          \Driver\ACPI \Device\0000006b                                                          86437850

Device          \Driver\ACPI \Device\0000005f                                                          86437850

Device          \Driver\ACPI \Device\0000006f                                                          86437850

Device          \Driver\ACPI \Device\0000008a                                                          86437850

Device          \Driver\ACPI \Device\0000008b                                                          86437850

Device          \Driver\ACPI \Device\0000009a                                                          86437850
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                               fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                  

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 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

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION   DD7A7603AC138FCA8B99489C6D887508C654850691257C6CFA2600013EC048078CB656ED8BECA3064DE649DF442D513510B395053CFA7B473A68E3D5B0A7A1F47498471C3C7BA3E5E2F749C7D532D8736F780E13FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79338EDD5E5BE2F6E667A6A0AC4980AC7933A2D97226D213B555DF2319E9C0005253AA87C4DEF52585F5114E36FE43097AAD42F1737576CE9BBA72EA472702BE35CC5BB05E6E466711A3527B66A86C8A290AE6E2CA92CF64E21218417573F9B55D2F95EEAA99AD28D19711C8EC2B7EFB017CA30E73BB7E0DB2093F7FB13EF69BC13EAEDFEA3E3276BD90ABBBDB7059E297DEFEFBF2085AE161B9B5548F6CE74019F15F7AE1AEFCF48D04E3AB47577E54C646E48BCB84DF8F89F1B143A7D86382DF75C58358B05DD9BD1AE0C74A3316FCADF6246D0C322FD48AB5C9A2144FA058D5A9E2981C7DC3ED11302C8E814B699AAC69F029C0830B08083A7C1E7690FECB809F9CA8FDC3C6900CD535D48FDA6903EBCC6296FB605B10E9E929B271527C79A6A0BBF7D1A6A0B5F6D0CDC41A91A71B538173E4D525ADE959E41335AC3DC093D4A6EE9D703A2EE0DE972D5BC810DADF939E0395E8A2AFA5477CE44B54ED135EDA63C586B789722D96586CE74C6FDE5F9D6B567ED21

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG12.00.00.01PROFESSIONAL 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
 

---- EOF - GMER 1.0.15 ----

Gruss,
Winfried

Kannst du cmd öffnen? (Start->Ausführen->"cmd")
bitte nacheinander eingeben, mit Enter zwischen jeder Zeile:

Code:

cd \

cd WINDOWS

cd system32

cd drivers

dir

Es erscheint eine längere Liste, bitte dort schauen, ob eine svchost.exe auftaucht.

ComboFix anwenden:

* combofix.exe herunterladen und auf dem Desktop speichern (als cofi.exe) - Noch nicht ausführen!
* Mit CrapCleaner alle temporären Dateien löschen
* Antivirenprogramme deaktivieren, Firewall deaktivieren.
* Während ComboFix scannt, bitte nicht die Maus bewegen oder die Tastatur benutzen. Dies könnte CF zum Absturz bringen.
* Der Rechner muss ans Internet angeschlossen sein, damit CF eine Wiederherstellungskonsole herunterladen kann!
* Doppelklick auf cofi.exe
* Alle Dialoge mit "Yes" bzw. "Ja" beantworten.
* In dem blauen Fenster dann "1" eingeben und auf Enter.
* Nun scannt CF, startet neu und erstellt ein Logfile.
* Den Inhalt des Logfiles dann hier posten.

CMD gemacht: kein svchost.exe

jetzt kommt Cofi: Nach "Ja" Antwort kam das blaue Fenster mit ein paar Hinweisen, aber der Scan startete automatisch, ohne mir die chance für eine Eingabe zu geben. Also die Stufen liefen durch. Jetzt laufen massenweise Dateinamen mit ihren Ordnern durch den blauen Bildschirm. Weiss nicht was das jetzt ist.... Logfile sehe ich (noch) nicht.

Gruss,
Winfried

Nun, zu guter Letzt kam doch ein CoFi Logfile (mit 373 k leider zu lang...):

Ich habe Dir einen Rapidshare Link per PN gesandt.

Vielen Dank für die Hilfe! Ich wäre sonst verloren mit diesem Mist!

Gruss,
Winfried

Hallo,

Logfile ist angekommen.
Ergebnis: Rootkit im MasterBootRecord!
ComboFix scheint das Problem gelöst zu haben, dennoch:

mbr.exe - Wiederherstellung des ursprünglichen MasterBootRecord
* mbr.exe herunterladen und unter C:\ speichern
* cmd starten (Start -> Ausführen -> "cmd"), eingeben: (zwischen jeder Zeile "Enter" drücken)

Code:

cd c:\

mbr.exe -f

* In C:\ wird nun ein Logfile erstellt (c:\mbr.log). Den Inhalt des Logs bitte hier posten.

Danke für die Arbeit!

Momentan funktioniert der PC teilweise, ich habe nach einigen Minuten bis ca. 1 Stunde system hangs mit eingefrorenem Bildschirm, wohl je nachdem was/wieviel ich mache, muss dann abschalten und neu booten. Manchmal manchmal wird die Firewall deaktiviert. Malwarebytes und Avira haben keine Infektion gefunden.

MBR.exe war erfolgreich:

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\ACPI -> 0x85c7e5a0

NDIS: Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> 0x85999330

Warning: possible MBR rootkit infection !

copy of MBR has been found in sector 0x0950A600 

malicious code @ sector 0x0950A603 !

PE file found in sector at 0x0950A619 !
 MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.original MBR restored successfully !

Ich habe MBR.exe -f (ohne reboot) nochmals laufen lassen. Ergebnis:

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\ACPI -> 0x85c7e5a0

NDIS: Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> 0x85999330

Warning: possible MBR rootkit infection !

user & kernel MBR OK 

copy of MBR has been found in sector 0x0950A600 

malicious code @ sector 0x0950A603 !

PE file found in sector at 0x0950A619 !

Use "Recovery Console" command "fixmbr" to clear infection !

Ist das so on Ordnung? Mir kommt's komisch vor, weil ich die Recovery console benutzen soll, obwohl vorher alles OK schien...

Soll ich beim boot die Recovery Console wie o.a. benutzen oder was rätst Du?

Gruss,
Winfried

Rechner booten, Recovery Console starten.
Dann wie im Log angegeben fixmbr eingeben, *Enter*.
Wenn der Rechner wieder oben ist, nochmal "MBR.exe -f" laufen lassen und Ergebnis posten.

Dann bitte noch folgende Datei bei Virustotal auswerten lassen:
c:\windows\system32\dllcache\moviemk.exe
Link posten.

Rootkitscan mit Blacklight
* fsbl.exe auf dem Desktop speichern
* mit CrapCleaner Temporäre Dateien löschen
* Alle anderen Programme schließen, fsbl.exe ausführen
* Nacheinander "I accept", "Next" und "Scan" anklicken
* Nach Ende des Scans beenden ("Close") und das Log fsbl-(Datum).txt posten (befindet sich auf dem Desktop)

Zitat:

Zitat von StLB (Beitrag 509105)

Rechner booten, Recovery Console starten...

Es erfolgt ein Bluescreen ohne dass ich etwas einzugeben aufgefordert werde.
Soll ich chkdsk im CMD Window laufen lassen? Das wird auf dem blue-screen geraten.

Gruss,
Winfried

Hast du eine Windows-CD?
Boote mal von CD (im BIOS von HardDisk auf CD umstellen), und starte nach Laden der Daten mit "R" die Recovery-Konsole.
Laufwerk C: auswählen (meistens mit "1") und Kennwort eingeben.
Dann hast du sowas ähnliches wie ein CMD-Fenster.
Dort dann versuchen mbrfix zu starten.

Zitat:

Zitat von StLB (Beitrag 509145)

Alles gemacht.

C:}mbrfix mochte er nicht - unbekannter Befehl

C:\}MBR.exe -f mochte er nicht - unbekannter Befehl

C:\}c: mbr.exe -f meckerte er nicht an, quittierte mit C:}_

Scheint also funktioniert zu haben oder?

WindowsXP hat normal von HD gebootet und dann habe ich im CMD Window mbr.exe -f gestartet.

Ergebnis: Findet immernoch malicious code...

Also nochmal von CD gebootet und help gelesen. Befehl heisst "FIXMBR" nicht mbrfix !!! ;)

Neuer MBR geschrieben - Schwitz - WinXP bootet, Willkommen, Desktop ist da, Avira startet...

Jetzt nochmal mbr.exe -f gestartet.
Ergebnis: Findet immernoch malicious code...

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK 

copy of MBR has been found in sector 0x0950A600 

malicious code @ sector 0x0950A603 !

PE file found in sector at 0x0950A619 !

Virustotal Ergebnis für Moviemk.exe:
http://www.virustotal.com/de/analisi...4e5-1268683934

FSBL hat nichts gefunden.

Kommen wir eigentlich weiter? Ich bin etwas am verzweifeln... Aber so bleiben kann's ja auch nicht und das System neu aufsetzen wäre wegen Software und Daten der Wahnsinn! Bitte hilf weiter! Danke!

Gruss,
Winfried

Zitat:

Also nochmal von CD gebootet und help gelesen. Befehl heisst "FIXMBR" nicht mbrfix !!! ;)

Peinlich, peinlich :o

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK 

copy of MBR has been found in sector 0x0950A600 

malicious code @ sector 0x0950A603 !

PE file found in sector at 0x0950A619 !

Es wird aber zumindest kein "MBR rootkit code detected !" mehr angezeigt, das lässt schon mal hoffen.

Bitte nochmal ein HijackThis Log posten.
Ich habe da einige Koreanische Website gesehen, die wir fixen sollten. (Dazu später)

Wie verhält sich der Rechner derzeit?

OK, wenn Du Hoffnung schöpfst, dann ich erst recht!

Hijack This Log (.exe gestartet von Memorystick):

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:50:38, on 15.03.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16981)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\o2flash.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe

C:\AddOn\Fujitsu\PSUtility\TrayManager.exe

C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe

C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe

C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe

C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\M-AudioTaskBarIcon.exe

C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

F:\Malwarebekämpfung\9 Hijack This\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL

O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe

O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe

O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe

O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe

O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe

O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\system32\M-AudioTaskBarIcon.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [FjWirSel] C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe

O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet\ComDlls\Bhoall.htm

O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet\ComDlls\Bholink.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.aekyung.kr

O15 - Trusted Zone: http://www.myfidelio.net

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1DE9BB01-B121-401D-8877-BCD5ED5B7EE5} (Tpwin Control) - http://www.crezio.com/test/leeyunho/AlwaysOn/AlwaysOn.CAB

O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab

O16 - DPF: {61E56682-2F9A-400C-A724-BC1E9D962225} (EGateRegiChecker Control) - http://gw.aekyung.kr/comn/library.nsf/ByDesignName/eGateRegiChecker.cab/$FILE/eGateRegiChecker.cab

O16 - DPF: {9040F8BC-1F13-4D8D-8F62-1140D49F12F4} (eGateFileManagerV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateFileManager.cab/$FILE/eGateFileManagerV2.cab

O16 - DPF: {CAFECAFE-0013-0001-0025-ABCDEFABCDEF} (JInitiator 1.3.1.25) - https://www.myfidelio.net/webhtml/opera_jinit_1012_25.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DBEC973D-63E4-4063-A3B8-675D497AD7E4} (EGatePrint Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGatePrint.cab/$FILE/eGatePrint.cab

O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://microsinc.webex.com/client/T23L/support/ieatgpc.cab

O16 - DPF: {F1233514-92E1-4E50-811F-B0F552D041CA} (eGateDocV2 Control) - http://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateODSV2.files/$FILE/eGateODSV2.CAB

O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll

O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - C:\WINDOWS\system32\brsvc01a.exe (file missing)

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Media Center 14 Service - J. River, Inc. - C:\Programme\J.River Mediaplayer\JRService.exe

O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 7836 bytes

Ansonsten verhält sich der Rechner scheinbar recht stabil, bisher kein "hang" mehr, Firewall bleibt aktiv, Avira meckert nicht,...

Das mit den koreanischen Websites hört sich intererssant an, auf einige haben wir geschäftlich zugegriffen.

Gruss,
Winfried

Code:

O15 - Trusted Zone: http://*.aekyung.kr

O15 - Trusted Zone: http://www.myfidelio.net

Hast du diese zwei Seiten selbst zu den "Vertrauenswürdigen Sites" hinzugefügt?
Normalerweise sind Adressen mit ausländischen Kürzeln verdächtig (z.B. .ru, .pl, ...), aber wenn du sagst, ihr habt wissentlich auf die Websites zugegriffen und Dateien heruntergeladen, dann dürfte das kein Problem darstellen.

Funktioniert auch der Taskmanager wieder?

Bezüglich Combofix, dieses Tool ist für DICH tabu ohne eine Freigabe von einem KTler. Geht auch dem Helferteam nicht anders.

Die Batch wird die svchost auch nicht finden da die sicher +h ist bzw wird diese sich schützen.
Gmer ist sauber also ist nur noch der Eintrag in der Registry vorhanden. Den sollte man vl auch löschen :p

Eine Systemdatei.exe im drivers Ordner braucht man nicht wirklich online scannen ;)

Und nun viel Spass an Board, bei Fragen gerne Via PN :)