Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   explorer.exe 100% Systemauslastung: Bitte Hilfe bei LogFile Auswertung (https://www.trojaner-board.de/50364-explorer-exe-100-systemauslastung-bitte-hilfe-logfile-auswertung.html)

Dr.CaRsTeN 10.03.2008 14:54
explorer.exe 100% Systemauslastung: Bitte Hilfe bei LogFile Auswertung
 
Hallo zusammen.

Auf Grund meiner guten Erfahrungen mit diesem Forum wende ich mich direkt an euch.
Das Problem ist Folgendes. Seit ca. 2 Wochen verbraucht die explorer.exe 100% der Systemauslastung und zieht damit die Rechenleistung des Computers sehr in die Knie. Leider kann ich nciht viel mehr Auskünfte dazu geben, da es sich um den Computer eines Bekannten handelt, der mich um Hilfe bat.
Das Problem tritt auch im abgesicherten Modus auf Diverse Viren- und Anti Spywarescans blieben ohne Erfolg.

Installiertes Betriebssystem: Windows XP

HiJack Log aus dem abgesicherten Modus:

Logfile of HijackThis v1.99.1
Scan saved at 21:30:31, on 09.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Programme\Starware369\bin\Starware369.dll (file missing)
O2 - BHO: (no name) - {92162E17-B8F0-480F-9B52-43855BFBEBA8} - c:\windows\system32\acleditb.dll
O2 - BHO: (no name) - {AA7DC015-680D-4266-9EF8-C68FAA8E7978} - C:\WINDOWS\system32\d3dim700f.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Starware Musik Toolbar - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Programme\Starware369\bin\Starware369.dll (file missing)
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [6yuz] C:\WINDOWS\system32\6yuz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [6yuz] C:\WINDOWS\system32\6yuz.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: wdfpzvsg - C:\WINDOWS\SYSTEM32\acleditb.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Time:LAN! (timelan[1]) - Unknown owner - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5V71R9J8\timelan[1].exe (file missing)

Ihr werdet sehen, dass auf dem PC sehr viele Programmeund Toolbars installeirt sind, was für mich die Suche nach einem Fehler nicht leichter machte. Einzige Datei, die mich stutzig machte, war eine .exe Datei im Autostart: 6yuz.exe Leider liefert Google darüber keinerlei Ergebnisse.

Wär schön, wenn ihr einmal drüber schauen könntet und mir dann eventuelle Tipps zum Lösen des Problems geben könntet.
Solltet ihr noch mehr Informationen brauchen, werde ich mich selbstverständlich darum kümmern.


Vielen Dank im Voraus,

Carsten

PS: Vielleicht sollte ich noch dazu sagen, dass der betroffene Computer seit diesem Problem keine Verbindung zum Internet herstellen kann...

Sabina 10.03.2008 15:17
Hallo

1.
mit dem HijackThis löschen ("fixen")

Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.
Zitat:
O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Programme\Starware369\bin\Starware369.dll (file missing)

O2 - BHO: (no name) - {92162E17-B8F0-480F-9B52-43855BFBEBA8} - c:\windows\system32\acleditb.dll

O2 - BHO: (no name) - {AA7DC015-680D-4266-9EF8-C68FAA8E7978} - C:\WINDOWS\system32\d3dim700f.dll

O3 - Toolbar: Starware Musik Toolbar - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Programme\Starware369\bin\Starware369.dll (file missing)

O4 - HKLM\..\Run: [6yuz] C:\WINDOWS\system32\6yuz.exe

O4 - HKCU\..\Run: [6yuz] C:\WINDOWS\system32\6yuz.exe

O20 - Winlogon Notify: wdfpzvsg - C:\WINDOWS\SYSTEM32\acleditb.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
2.
wende Combofix an + poste den scanreport
combofix



«

Dr.CaRsTeN 11.03.2008 09:52
Hallo

Danke für deine Hilfe. Habe die von dir beschriebenen Sachen durchgeführt, musste allerdings feststellen, dass sich zwei Dateien mt HijackThis nicht entfernen ließen. Habe deshalb zu dem Combofix Log auch nocheinmal einen neuen HiJackThis Log angehängt:


HiJack:

Logfile of HijackThis v1.99.1
Scan saved at 22:26:02, on 10.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {92162E17-B8F0-480F-9B52-43855BFBEBA8} - c:\windows\system32\acleditb.dll
O2 - BHO: (no name) - {AA7DC015-680D-4266-9EF8-C68FAA8E7978} - C:\WINDOWS\system32\d3dim700f.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: wdfpzvsg - C:\WINDOWS\SYSTEM32\acleditb.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Time:LAN! (timelan[1]) - Unknown owner - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5V71R9J8\timelan[1].exe (file missing)


Combofix:

ComboFix 08-03-10.1 - LUTZ 2008-03-10 22:29:39.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.370 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\appcert
C:\WINDOWS\system32\acleditb.dll . . . . Nicht in der Lage zu löschen

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\LEGACY_ERTQWKJJ
-------\LEGACY_IPRIP
-------\ertqwkjj
-------\Iprip


((((((((((((((((((((((( Dateien erstellt von 2008-02-10 bis 2008-03-10 ))))))))))))))))))))))))))))))
.

2008-03-09 17:22 . 2008-03-09 17:22 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-03-09 16:28 . 2008-03-09 16:29 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-03-09 16:28 . 2008-03-09 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-07 12:23 . 2008-03-10 13:15 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-02-24 17:59 . 2008-02-24 17:59 5,120 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-02-19 16:16 . 2008-02-19 16:16 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2008-02-19 16:16 . 2008-02-19 16:16 741,632 --a------ C:\WINDOWS\system32\wcpysdpy.dat
2008-02-19 16:16 . 2008-02-19 16:16 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2008-02-19 16:16 . 2008-02-28 20:19 42,752 --a------ C:\WINDOWS\system32\pgcadfue.dat
2008-02-19 16:16 . 2008-02-19 16:16 36,608 --a------ C:\WINDOWS\system32\jomatcqi.dat
2008-02-19 16:16 . 2008-02-19 16:16 35,072 --a------ C:\WINDOWS\system32\ksuwbtte.dat
2008-02-19 10:16 . 2008-03-04 14:39 120,576 --a------ C:\WINDOWS\system32\qzylquzs.dat
2008-02-19 10:11 . 19,712 C:\WINDOWS\system32\drivers\lwahgvtc.dat
2008-02-19 10:09 . 2008-03-04 14:35 98,048 --a------ C:\WINDOWS\system32\d3dim700f.dll
2008-02-19 10:09 . 2001-08-18 13:00 86,528 --a------ C:\WINDOWS\system32\acleditb.dll.bak
2008-02-19 10:09 . 2008-03-10 22:39 86,528 --a------ C:\WINDOWS\system32\acleditb.dll
2008-02-19 10:09 . 2008-02-07 14:52 16,384 --a------ C:\WINDOWS\system32\6yuz.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-10 13:43 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT
2008-03-10 13:43 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLds.DAT
2008-03-10 11:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-03-04 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-14 15:33 1,537,288 ----a-w C:\WINDOWS\CISUnins.exe
2008-02-14 15:33 1,537,288 ----a-w C:\WINDOWS\CICUnins.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{92162E17-B8F0-480F-9B52-43855BFBEBA8}]
2008-03-10 22:39 86528 --a------ c:\windows\system32\acleditb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA7DC015-680D-4266-9EF8-C68FAA8E7978}]
2008-03-04 14:35 98048 --a------ C:\WINDOWS\system32\d3dim700f.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2006-08-06 13:03 647220]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-02-20 20:01 49152]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 08:41 282624]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 13:32 278528]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-03-01 12:35 327680]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2004-07-09 15:07 1249280]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-04-14 11:54 45056]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"combofix"="C:\WINDOWS\system32\CF24653.exe" [2004-08-04 00:57 401408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2006-08-06 13:03 647220]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\6yuz]
--a------ 2008-02-07 14:52 16384 C:\WINDOWS\system32\6yuz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClipIncSrvTray]
--a------ 2008-01-10 18:42 434176 C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-06-28 08:14 270648 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarAgent]
C:\Programme\Jägermeister\ps_agent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
C:\Programme\Jägermeister\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-04-05 15:32 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"C:\\WINDOWS\\system32\\6yuz.exe"=

R0 eikffcol;eikffcol;C:\WINDOWS\system32\drivers\lwahgvtc.dat []
R2 ClipInc001;ClipInc 001;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
R2 ClipInc002;ClipInc 002;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
R2 ClipInc003;ClipInc 003;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 003 []
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 16:16]
R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2005-11-24 11:36]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-02-23 17:16]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-09-28 09:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e86a704-b487-11dc-b47a-001195892896}]
\Shell\AutoRun\command - E:\pushinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-07-30 08:47:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-10 22:43:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
"ImagePath"="C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5V71R9J8\timelan
[1].exe"


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\C:\DOKUME~1\LUTZ\LOKALE~1\Temp\ASFWHide"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\eikffcol]
"ImagePath"="system32\drivers\lwahgvtc.dat"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\timelan[1]]
"ImagePath"="C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5V71R9J8\timelan
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-10 22:48:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-10 21:47:55
.
2008-03-04 14:16:55 --- E O F ---


Ich hoffe, das hilft weiter,

Carsten

Sabina 11.03.2008 10:45
1.
lade Avenger
The Avenger

Lade avenger.txt - (rechtsklick auf den Link - "Ziel speichern unter..." - lade auf das Desktop
http://www.virus-protect.org/avenger.txt

nach öffnen des Avenger klicke: "Load Script" - klicke: "From File"

dann suche die avenger.txt - klicke: öffnen und dann "Execute" - bestätige mit "Yes", dass der Rechner neugestartet wird.

2.
Nach Neustart poste das Log vom Avenger, was erscheint + ein neues Log von Combofix

Dr.CaRsTeN 12.03.2008 21:00
Hallo!

Die von dir angegebene txt-Datei lässt sich nicht ausführen im Avenger, es wird immer ein Fehler angezeigt, dass der Text mit einem entsprechenen Kommando starten müsse. Somit erledigen sich neue Log Files.

Außerdem hat sich Folgendes ergeben: Einen Tag nach dem Scan mit Combofix läuft der Computer wieder mit gewohnter Leistung. Die Auslastung der explorer.exe liegt wieder meistens bei 0%.

ANSCHEINEND ist wieder alles in Ordnung, obwohl acleditb.dll weiterhin im System32 Ordner existiert. Hat sich damit das Problem erledigt, oder sollte man der Ruhe nicht trauen?
Worum handelt es sich denn überhaupt bei besagter dll-Datei?


Danke nocheinmal für deine tatkräftige Unterstützung,

Carsten

Sabina 13.03.2008 09:04
Hallo,
natürlich muss der Rechner gesäubert werden..auch wenn du keine Probleme mit ihm hast...
acleditb.dll - ist ein Trojaner.

1.
Start -- Ausführen -- schreib rein: cmd

dann kopiere von hier aus rein:

sc stop eikffcol

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete eikffcol

[klicke "enter"]


2.
http://www.virus-protect.org/zip/regdatei.zip

lade regdatei.zip - auf dem Desktop entpacken - avenger.reg anklicken + mit ja oder yes bestätigen, dass die reg-Datei der Registry beigefügt wird

3.
PC neustarten

----------------------------------------------------------------

4.
otmoveIt
OTMoveIt by OldTimer

öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move
Code:
C:\WINDOWS\system32\CF24653.exe
C:\WINDOWS\system32\drivers\lwahgvtc.dat
C:\WINDOWS\system32\wcpysdpy.dat
C:\WINDOWS\system32\pgcadfue.dat
C:\WINDOWS\system32\jomatcqi.dat
C:\WINDOWS\system32\ksuwbtte.dat
C:\WINDOWS\system32\qzylquzs.dat
C:\WINDOWS\system32\d3dim700f.dll
C:\WINDOWS\system32\acleditb.dll.bak
C:\WINDOWS\system32\acleditb.dll
C:\WINDOWS\system32\6yuz.exe
Klicke auf den Roten MoveIt!

In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

5.
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

6.
lade Combofix neu « wende noch mal Combofix an + poste den Report
combofix


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:19 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129