Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rem rthdcpl.exe (https://www.trojaner-board.de/63779-rem-rthdcpl-exe.html)

Sivo 06.11.2008 18:53
Rem rthdcpl.exe
 
Hallo Leute,

ich nutze XP SP3 und Kaspersky Internet Security 2009.

Ich hatte vor einigen Wochen meinen Rechner mit Avira gereinigt, nachdem dieser lange Zeit mit abgelaufenem Norton lief. Avira hat 41 Viren/Trojaner gefunden und diese vernichtet. Leider habe ich aus dieser Zeit kein Logfile mehr. Seither habe ich meinen Rechner mit verschiedenen Online- und Spyware-Scannern bearbeitet, viele Sachen gelöscht, mir einen neuen Kaspersky zugelegt und möchte nun mit Highjackthis die letzten unnötigen und evtl. gefährlichen Sachen fixen. Nun wüsste ich gern, welche Einträge ich unbesorgt noch entfernen kann. Laut HJT-Logfileauswertung gibt es da einige Sachen, die nicht bekannt sind, wie z.B. dieser Eintrag hier:
O4 - HKCU\..\Run: [RTHDCPL] REM RTHDCPL.EXE

Außerdem habe ich mit Autostart-Manager geregelt, dass nur Kaspersky und mein Modem mitstarten. Jedoch diese hier: O4 - HKCU\..\Run: [ctfmon.exe] REM C:\WINDOWS\system32\ctfmon.exe trägt sich regelmäßig selbständig als neuer Autostarteintrag wieder ein. Das beunruhigt mich etwas.

Und die svchost.exe ist gleich 3 x da. Normal?

Hier ist mein HJT-Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:41, on 06.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKCU\..\Run: [ATIPTA] REM "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [ctfmon.exe] REM C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C93FD3-FEE9-46C4-A1DE-ADAAEA925764}: NameServer = 212.23.97.2 212.23.97.3
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Unknown owner - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4105 bytes

Vielen Dank für Eure Hilfe


Gruß,Sivo

blow-in 06.11.2008 19:31
Hi Sivo :hallo:
wegen der CTFMON.EXE guckst du hier
Tante Gurgel ist dein Freund.

Sivo 06.11.2008 19:49
Super,

die ctfmon ist schonmal weg.

Was ist mit den anderen Sachen, die doppelt sind und den unknown-owner Sachen und der RTHDCPL.EXE?

Habe alles schonmal gegoogelt, werd aber nicht schlau daraus.


Danke schonmal

Gruß, Sivo

blow-in 06.11.2008 20:28
Also in deinem HJT-Log kann ich keine Schädlinge mehr feststellen. Das einige Dateien wie die svchost.exe mehrmals aufgeführt werden ist auch normal.
Hast du denn noch Probleme mit dem Rechner?
Könntest auch noch ein neues Hijackthis Log reinstellen.
Wann hast du eigentlich den letzten vollständigen Scan mit Kaspersky gemacht?
Solltest ihn mal mit den richtigen Einstellungen machen.

Sivo 06.11.2008 21:35
Hi,

danke erstmal

lasse kaspersky jetzt nochmal scannen, mit den Einstellungen. Habe eigentlich keine Probleme weiter, bis auf dass sich immer die Netzwerkeinstellungen verstellen, nach neustart. Ich klicke auf typisch - empfohlen und es verstellt sich immer wieder. Ist doch komisch


http://www12.file-upload.net/thumb/06.11.08/dcfr3d.JPG


vielleicht liegt das an meinem Modem? Das weiß ich halt nicht so genau.

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:32:55, on 06.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sandboxie\SandboxieRpcSs.exe
C:\Programme\Sandboxie\SandboxieDcomLaunch.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [RTHDCPL] REM RTHDCPL.EXE
O4 - HKCU\..\Run: [ATIPTA] REM "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C93FD3-FEE9-46C4-A1DE-ADAAEA925764}: NameServer = 212.23.97.2 212.23.97.3
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Unknown owner - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4374 bytes

Kaspersky findet immer nur einen Haufen von Spybot-kennwortgeschützte Dateien.

Gruß, Sivo

blow-in 07.11.2008 08:58
Hi Sivo
Das mit den veränderten Einstellung deiner Netzwerkeinstellungen liegt, denke ich mal an deiner USB-Karte. Diese braucht halt diese Zugangsart.
Zitat:
Was ist mit den anderen Sachen, die doppelt sind und den unknown-owner Sachen und der RTHDCPL.EXE?
Ist ein Treiber für den Realtek HD Audio Sound Effect Manager. Ich denke mal den hast du drauf.
Hast du denn Spybot gelöscht? Ich konnte diesbezüglich keinen Eintrag in deinem HJT-Log finden.

Sivo 07.11.2008 09:01
Morgen,

der Teatimer ist deaktiviert, scanne mit Spybot nur hin und wieder. Soll ich den mal runterschmeissen? Sind dann auch die kennwortgeschützten Dateien weg? Ich will die gern mal mit Kaspersky scannen lassen.

Gruß, Sivo

blow-in 07.11.2008 09:27
Nun mit Spybot kenne ich mich nicht so aus und der TeaTimer ist sowiso das Letzte. Der verhindert keine Infektion aber behindert die Reinigung. Ich denke aber, der hat auch einen Quarantäne, die beim Löschen von Spybot weg ist.
Dann ist aber eine Prüfung mit dem Kasperle nicht mehr möglich.

Sivo 08.11.2008 20:38
Hi,

danke erstmal für Deine Hilfe blow-in,

habe mir heute mal eScan runtergeladen und der hat das hier gefunden



Code:

08 Nov 2008 19:15:52 - Scanning File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.de\SharingMetadata\infected.dat [**]


08 Nov 2008 19:15:56 - Scanning File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@msn.com\SharingMetadata\infected.dat [**]


08 Nov 2008 19:15:58 - Scanning File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.de\SharingMetadata\infected.dat [**]

08 Nov 2008 19:16:54 - File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\402VRGOI\mwav[1].exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.

08 Nov 2008 19:22:59 - File C:\Sandbox\***\DefaultBox\user\current\Desktop\kis8.0.0.454de.exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.


08 Nov 2008 19:19:14 - Scanning File C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\Skin\sounds\Infected.wav [**XX**]


08 Nov 2008 19:19:14 - Scanning File C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\Skin\sounds\infected_p.wav [**XX**]


08 Nov 2008 19:17:16 - Scanning File C:\MAGIX\Digital_Foto_Maker_2005_SE\Icons\Tagged Image File Format.ico [**XX**]

wie kann ich das beseitigen?


Und noch eine andere Sache - wie kann es sein, daß der HJT-Eintrag von meinem Modem nirgendwo sonst auftaucht? D. h. wenn ich nach genau diesem Eintrag googele, find ich immer nur mein eigenes thema. Ist ganz normales Base-e-plus-Internet-Modem Huawei E169. Vielleicht ist mein Modem gehackt? Kann sowas sein?

Code:

O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
Auch unter HJT-Logfileauswertung ist dieser Eintrag unbekannt.


Es funktioniert eigentlich wunderbar. Hab keine Probleme damit.


Vielen Dank für deine Hilfe,


Gruß, Sivo

blow-in 09.11.2008 09:33
Zitat:
Zitat von Sivo (Beitrag 390621)
wie kann ich das beseitigen?
Gar nicht, sonst zerschießt du dir dein System. Das was da der eScan gefunden hat sind Fehlalarme. Da sich dieser gerne Wichtig macht, empfehle ich diesen nur selten.
Das er die infected.wav anzeigt, liegt eigentlich nur am Namen.
Ich finde es ja ganz stark, dass er seine eigene Datei, die mwav.exe als Schädling erkennt, sagt ja alles.
Zu deinem Modem. Du hast ein UMTS Modem und gehst damit per Handy oder Ähnlichen ins Netz?
Was da die automatische Log-Auswertung zeigt, bedeutet nur, das sie es nicht kennen. Nicht das es Malware ist. Aber wenn du sicher gehen willst, dann Lade diese Dateien bei Virustotal hoch.
Wenn du noch etwas Gutes für deinen PC machen willst, dann wende mal den CCleaner an nach Anleitung an.

Sivo 09.11.2008 09:56
Danke blow-in,

Bin jetzt beruhigt

Dein Tip mit dem CC-Cleaner: Sieht mein Log vermüllt aus? Denn CC-Cleaner ist eh schon mein bester Freund.

Gruß,Sivo

blow-in 09.11.2008 10:10
Hi
In deinem Log kann ich nichts erkennen.
Wenn du den CCleaner regelmäßig anwendest ist es ja gut. Gibt es denn sonst noch Probleme?
Ich würde ja sonst sagen, dich kann man als geheilt entlassen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131