Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
sysrestore.dll

sysrestore.dll


Plagegeister aller Art und deren Bekämpfung: sysrestore.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 2 1 2
Alt 26.06.2008, 13:49   #1
TieU
 
sysrestore.dll - Standard

sysrestore.dll


Hallo blow-in,

AVAST hat die Datei BASSMOD.DLL in den Ordner C:\Programme\Alwil Software\Avast4\Data\moved verschoben.

Der Scan dieser Datei ergab: 0 bytes size received / Se ha recibido un archivo vacio

Der Windows Explorer zeigt eine Dateigröße von 15 kb an.


Die Insatallation von Malwarebytes scheiterte mit dieser Fehlermeldung:

C:\Programme\Malwarebyts' Antimalware\mbamext.dll
DLL/OCX konnte nicht registriert werden: RegServ32-Aufruf scheiterte mit Exit-Code 0x5
Alt 04.07.2008, 12:17   #2
TieU
 
sysrestore.dll - Standard

sysrestore.dll


Hallo blow-in,

den Eintrag habe ich gefixt.
Insgesamt scheint sich der Rechner (wieder) normal zu verhalten, die vormals beobachtete CPU-Auslastung von 100% bei Untätigkeit ist zurückgegangen auf das Normalmaß, 3-5%.

Die Installation von Malwarebytes stoppte mit der Fehlermeldung:

C:\Programme\Malwarebyts' Antimalware\mbamext.dll
DLL/OCX konnte nicht registriert werden: RegServ32-Aufruf scheiterte mit Exit-Code 0x5

Konnte jedoch mit "Ignorieren" übergangen/fortgesetzt werden.
Ein Scan lieferte keine Infektionsergebnisse.


Liebe Grüße

TieU
__________________
Alt 26.06.2008, 12:52   #3
TieU
 
sysrestore.dll - Standard

sysrestore.dll


Kommando zurück.

Soeben erschien folgende Meldung:

Virus gefunden in C:\windows\System32\bassmod.dll

Malware-Name: Win32:Trojan-gen


:-(
__________________
Alt 26.06.2008, 13:29   #4
blow-in
 
sysrestore.dll - Standard

sysrestore.dll


Dann müssen wir mal tiefer Graben. Die gemeldete Datei bei Virustotal hochladen und scannen lassen.
Wenn du sie nicht findest kannst du ja
Zitat:
C:\windows\System32\bassmod.dll
direkt in die Zeile eintragen.
Der Scan kann etwas dauern. Trage das Ergebnis komplett hier ein.
Danach verwende mal Malwarebytes und berichte.
So ich mache jetzt erst mal Schluss. Bin dann morgen Früh wieder da.
Geändert von blow-in (26.06.2008 um 13:41 Uhr)

Alt 04.07.2008, 09:02   #5
TieU
 
sysrestore.dll - Standard

sysrestore.dll


Hallo blow-in,

die Deaktivierung der Systemwiederherstellung ging problemlos, ebenso wie das Leeren des Papierkorbs.

Der Inhalt der Quarantäneordners von Avast lies sich nicht mit dem Windows-Explorer löschen, sondern funktionierte nur über die Löschfunktion von Avast.

CCleaner lief mehrfach, incl. Registrysäuberung - Fehler stellt CCleaner nicht mehr fest.

Bevor ich HijackThis laufen lies guckte ich nochmals in den Quarantäneordner von Avast und fand in der dortigen index.xml diesen Inhalt.

Code:
ATTFilter
<?xml version="1.0" encoding="UTF-8" ?> 
- <aswObject>
  <NewId>00000010</NewId> 
  <Size>1090872</Size> 
- <ChestEntry>
  <ChestId>0000000D</ChestId> 
  <FileTime>1208139733</FileTime> 
  <OrigFileName>kernel32.dll</OrigFileName> 
  <OrigFolder>C:\WINDOWS\system32</OrigFolder> 
  <Comment /> 
  <Category>System</Category> 
  <TransferTime>1215157437</TransferTime> 
  <FileSize>1063424</FileSize> 
  </ChestEntry>
- <ChestEntry>
  <ChestId>0000000E</ChestId> 
  <FileTime>1030622400</FileTime> 
  <OrigFileName>winsock.dll</OrigFileName> 
  <OrigFolder>C:\WINDOWS\system32</OrigFolder> 
  <Comment /> 
  <Category>System</Category> 
  <TransferTime>1215157437</TransferTime> 
  <FileSize>2864</FileSize> 
  </ChestEntry>
- <ChestEntry>
  <ChestId>0000000F</ChestId> 
  <FileTime>1208139752</FileTime> 
  <OrigFileName>wsock32.dll</OrigFileName> 
  <OrigFolder>C:\WINDOWS\system32</OrigFolder> 
  <Comment /> 
  <Category>System</Category> 
  <TransferTime>1215157437</TransferTime> 
  <FileSize>24576</FileSize> 
  </ChestEntry>
  </aswObject
Das neueste Logfile von : HijackThis

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:49:06, on 04.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2&DI=108&XAPID=4210??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail&vv=400&lc=1031
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.bdsm-aktuell.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - h**p://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - h**p://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - h**p://utilities.pcpitstop.com/optimize2/pcpitstop2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{64910133-4AD9-4A10-8F13-8DCB1EA89E01}: NameServer = 62.109.123.197 213.191.74.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{99C55F99-9FA7-4EFE-9EA1-EC836F566EB6}: NameServer = 213.191.74.19,213.191.74.18
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

--
End of file - 7666 bytes
Weitere Aktionen habe ich nicht durchgeführt.


Liebe Grüße

TieU


Alt 04.07.2008, 09:50   #6
blow-in
 
sysrestore.dll - Standard

sysrestore.dll


Hallo TieU

Führe mit HijackThis eine <To a Systemscan only> durch und Fixe diesen Eintrag
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) Haken vor dieser Zeile und dann auf Fix checked.
Wie verhält sich denn dein Rechner jetzt?
Du kannst ja noch mal den Scan mit Malwahrebytes verssuchen.
Geändert von blow-in (04.07.2008 um 10:15 Uhr)

Alt 26.06.2008, 12:02   #7
TieU
 
sysrestore.dll - Standard

sysrestore.dll


Hallo blow-in,

ich habe den CCleaner nun mehrfach laufen lassen und Bereinigungen durchführen lassen.

Es werden nunmehr keine weiteren Fehlermeldungen ausgegeben.

Wie geht es nun weiter?


Liebe Grüße

TieU

Alt 26.06.2008, 12:14   #8
blow-in
 
sysrestore.dll - Standard

sysrestore.dll


Mach dann bitte noch einen Scan mit dem neueren HijackThis Das Log hier posten und anschließend noch ein <Do a system scan Only> und die Zeilen in denen dahinter steht no file oder file missing einen Haken vorne machen und unten auf Fixen. Rechner neu starten.

Alt 02.07.2008, 15:03   #9
TieU
 
sysrestore.dll - Standard

sysrestore.dll


Hallo blow-in,

hier die aktuelle Log-Datei von HiJackThis


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:22, on 02.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cidaemon.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2&DI=108&XAPID=4210??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail&vv=400&lc=1031
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.bdsm-aktuell.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - http://utilities.pcpitstop.com/optimize2/pcpitstop2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{99C55F99-9FA7-4EFE-9EA1-EC836F566EB6}: NameServer = 213.191.74.19,213.191.74.18
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

--
End of file - 7447 bytes

Alt 03.07.2008, 07:49   #10
blow-in
 
sysrestore.dll - Standard

sysrestore.dll


Hallo TieU
Wie ich erkennen kann, hast du SUPERAntiSpyware schon drauf. Hast du damit schon einen Scan gemacht?
Zeige uns das Log.
In deinem HJT-Log kann ich nichts mehr erkennen.

Alt 08.07.2008, 11:19   #11
TieU
 
sysrestore.dll - Standard

sysrestore.dll


Hallo blow-in,

herzlichen Dank für Deine Mühe und Hilfe!

Im Betrieb ist soweit nichts auffälliges zu bemerken, mit einer Ausnahme:

Die DFÜ-Verbindung (DSL) wird nach dem Start des Rechners automatisch hergestellt, ohne weiteres Zutun.

Was mir noch ein wenig Sorge bereitet ist das Protokoll vom Kaspersky-Onlinescan. Denn hier werden 4 Viren und 11 infizierte Objekte gefunden.

Hier das Logfile:

Code:
ATTFilter
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Dienstag, 8. Juli 2008 12:05:30
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken:  8/07/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 924835
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\
	F:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 72472
	Viren gefunden: 4
	Infizierte Objekte gefunden: 11
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 01:59:31

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-02282007-091803.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search.zip/plugin.dll	Infizierte Objekte: Trojan-Clicker.Win32.Small.ja	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search.zip	ZIP: infiziert - 1	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip/plugin.dll_tobedeleted	Infizierte Objekte: Trojan-Clicker.Win32.Small.ja	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip/uninstall.exe	Infizierte Objekte: Trojan-Clicker.Win32.Small.iz	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip	ZIP: infiziert - 2	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search16.zip/plugin.dll_tobedeleted	Infizierte Objekte: Trojan-Clicker.Win32.Small.ja	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search16.zip	ZIP: infiziert - 1	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/TakePrivileges.class	Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/SuperMSClassLoader.class	Infizierte Objekte: Trojan.Java.ClassLoader.aq	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/Installer.class	Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c	ZIP: infiziert - 3	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\AppLogs\SUPERANTISPYWARE-7-8-2008( 9-0-57 ).LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{475ECA69-1ECF-4EBD-8D1D-8AFF44DB8B7C}	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008070820080709\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\Avast4.db	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\selfdef.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\master.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\mastlog.ldf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\model.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\modellog.ldf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\tempdb.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\templog.ldf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\LOG\ERRORLOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\00000002.ps1	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\00000002.ps2	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\00010017.ci	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\cicat.fid	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\cicat.hsh	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiCL0001.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiP10000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiP20000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiPT0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiSL0001.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiSP0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiST0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiVP0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\INDEX.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\propstor.bk1	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\propstor.bk2	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP1\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_528.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_58c.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\spnserv.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
Einen neuerlichen Scan mit HiJacktihs habe ich ebenfalls durchgeführt:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:12, on 08.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2&DI=108&XAPID=4210??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail&vv=400&lc=1031
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.bdsm-aktuell.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - h**p://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - h**p://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - h**p://utilities.pcpitstop.com/optimize2/pcpitstop2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{64910133-4AD9-4A10-8F13-8DCB1EA89E01}: NameServer = 62.109.123.197 213.191.74.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{99C55F99-9FA7-4EFE-9EA1-EC836F566EB6}: NameServer = 213.191.74.19,213.191.74.18
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

--
End of file - 7397 bytes

Alt 30.06.2008, 14:25   #12
TieU
 
sysrestore.dll - Standard

sysrestore.dll


Hallo blow-in,

ja, die Datei "BASSMOD.dll" ist im Ordner C:\Programme\Alwil Software\Avast4\DATA\moved sichtbar.

Ich habe sie gem. Anleitung auf den Server geladen.


Schon herzlichen Dank für deine Hilfe.


Liebe Grüße

TieU

Alt 07.07.2008, 08:46   #13
TieU
 
sysrestore.dll - Standard

sysrestore.dll


Hallo blow-in,

hier noch im Nachgang das Protokoll von mbr.exe:


Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Wie geht es nun weiter?


Liebe Grüße

TieU

Alt 07.07.2008, 12:49   #14
blow-in
 
sysrestore.dll - Standard

sysrestore.dll


Zitat:
Zitat von TieU Beitrag anzeigen
Wie geht es nun weiter?
Hallo TieU
hast du denn noch Probleme irgendwelcher Art?
Die Systemwiederherstellung kannst du aktivieren.
Ansonsten denke ich schon, du bist geheilt.
Zum serven noch ein eingeschränktes Konto einrichten und Spass haben
Geändert von blow-in (07.07.2008 um 12:54 Uhr)

Antwort
Seite 2 von 2 1 2

Themen zu sysrestore.dll
avast, avast!, container, datei, fehlende, forum, gefunde, maßnahme, melde, vorschlag, win, win32, win32:rootkit-gen, winxp


« TR/BHO.Gen und andere echt ätzende Dinge | Trojaner - einfach nicht zu löschen... »


Zum Thema sysrestore.dll - Hallo blow-in, AVAST hat die Datei BASSMOD.DLL in den Ordner C:\Programme\Alwil Software\Avast4\Data\moved verschoben. Der Scan dieser Datei ergab: 0 bytes size received / Se ha recibido un archivo vacio Der - sysrestore.dll...
Archiv
Du betrachtest: sysrestore.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131