Hallo Trojanerboard!
Viele Jahre schon greif ich auf dieses Board zurück um hin und wieder Problemchen von anderen Leuten zu beseitigen. Nun hat es mich doch tatsächlich selbst erwischt. Ich habs gerade mal geschafft einen HijackThis-Log zu machen, einen Post zu verfassen und einen Freund gezwungen diesen für mich zu posten.
Ich hoffe ihr könnt mir helfen
Short-Analyzing: Zitat:
[X] - C:\WINDOWS\system32\drivers\services.exe
[X] - C:\WINDOWS\system32\drivers\services.exe
[X] - C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
[X] - C:\WINDOWS\system32\drivers\services.exe
[X] - C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
[?] - O2 - BHO: (no name) - {9d0d1fd2-d1a2-40e7-94f3-a9db5e7672ea} - C:\WINDOWS\system32\geBqRjkl.dll
[X] - O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
[X] - O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
[?] - O4 - Startup: userinit.exe
[?] - O20 - Winlogon Notify: geBqRjkl - C:\WINDOWS\SYSTEM32\geBqRjkl.dll
[X] - O23 - Service: Taskplaner (Schedule) - Apache Software Foundation - C:\WINDOWS\system32\drivers\services.exe
|
Komplettes Log: Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:29, on 02.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
C:\Dokumente und Einstellungen\[*NAME*]\Startmenü\Programme\Autostart\userinit.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Zone Labs\Zone Labs 2\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {9d0d1fd2-d1a2-40e7-94f3-a9db5e7672ea} - C:\WINDOWS\system32\geBqRjkl.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Dokumente und Einstellungen\[*NAME*]\svchost.exe
O4 - HKCU\..\Run: [Facegame] "C:\Dokumente und Einstellungen\[*NAME*]\Anwendungsdaten\Facegame\Facegame.exe" 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: userinit.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: geBqRjkl - C:\WINDOWS\SYSTEM32\geBqRjkl.dll
O20 - Winlogon Notify: winuqw32 - C:\WINDOWS\SYSTEM32\winuqw32.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Taskplaner (Schedule) - Apache Software Foundation - C:\WINDOWS\system32\drivers\services.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
|
System: Windows XP, SP2
Antiviren Software / Firewalls: Zonealarm; Windows-Firewall ist deaktiviert
Beschreibung:
- Rechner ist abgestürzt und nach dem Neustart wollten 3 Dienste/Datein/XY (ich weis leider nicht wie genau die heißen :X) auf das Internet zugreifen das ich per Zonealarm verweigert habe. Anschließend kam ein Bluescreen mit der Fehlermeldung: "Driver_IRQL_NOT_LESS_OR_EQUAL" von "psched.sys". Dieser Vorgang wiederholt sich nach jedem Neustart, sofern ich am Netz hänge. Offline melden sich die 3 Dienste/Datein/XY zwar auch, allerdings stürzt der Rechner nicht ab.
Weiters versuchen folgende Dienste/Datein/XY unregelmäßig auf das Internet zuzugreifen:
- lsb(oder Isb).exe versucht auf das Internet zuzugreifen. (immer wieder)
- htpasswd.? versucht auf das Internet zuzugreifen (zumin. einmal)
Irgendwie dürfte ich mir die Hundlinge beim Surfen eingetreten haben :\
Interessanterweise ist das Theater auch nicht sofort losgegangen, sondern erst nachdem ich eine ganze Weile Fable gezokkt habe. :/
Mir fiel leider kein besserer Titel ein. Bedauerlicherweise kommt die Bluescreenmeldung zu so gut wie jedem Problem und ich hoffe ihr erkennt da vielleicht eher einen Zusammenhang anhand des Logs und meiner leider recht lausigen Beschreibung :X
lg und Vielen Dank schon im vorraus!
Grinningface
02.11.2008, 21:46
Baum-Darstellung