Trojaner-Board - CPU-Auslastung sehr hoch, Grund nicht erkennbar

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - CPU-Auslastung sehr hoch, Grund nicht erkennbar (https://www.trojaner-board.de/70179-cpu-auslastung-sehr-hoch-grund-erkennbar.html)

xiphox

19.02.2009 18:32

CPU-Auslastung sehr hoch, Grund nicht erkennbar

Hallo,

ich habe seit einiger Zeit extreme Probleme mit meinem Notebook.
Es fing mit einem ständig aufkommenden Stop Fehler an, der mittlerweile alle paar Minuten auftritt. Seit einigen Tagen ist meine CPU -Auslastung zusätzlich extrem hoch, allerdings lässt sich nicht feststellen woran es liegt, da die Werte scheinbar immer am springen sind. Auffällig ist, dass explorer.exe
zu den springenden Dateien gehört.

Vielleicht schaut sich mal jemand meinen Logfile an?!

Danke

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:55, on 19.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {EE3B3F4B-3B93-4B9D-908E-A6206A076361} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {EE3B3F4B-3B93-4B9D-908E-A6206A076361} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092733492931
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2151553-5EEB-4E04-B793-1201BD4A41D3}: NameServer = 141.22.138.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9316 bytes

Redwulf

20.02.2009 10:16

Du hast einen sehr merkwürdigen TCP/IP Eintrag ( Nr.017). Der Server ist nämlich nicht erreichbar. Hast du diesen Eintrag vorgenommen? Check mal deine DNS Einstellungen deiner Internetverbindung TCP/IP

Code:

Geh bitte auf START

Systemsteuerung

Netzwerk- und Internetverbindungen

Netzwerkverbindungen -Hierauf dann einen Rechtsklick und Eigenschaften anklicken. Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.

Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern ?

xiphox

20.02.2009 10:34

Ist alles auf "automatisch beziehen" eingestellt.

Beim Beobachten der Auslastung ist zu sehen, dass schon bei Mausbewegungen diese sofort auf etwa 80% hochgeht. Vorher liegt sie immer zwischen 40 und 60%.

Ich habe das Gefühl, dass das Notebook immer nur bei Verbindungen in Netz durch IRQL-NOT-LESS-OR-EQUAL abstürzt.

Redwulf

20.02.2009 11:05

Wir sollten jedoch sicher gehen ob sich etwas in deinem System verbirgt.
Dieser 017 Eintrag lässt mir keine Ruhe.

Dazu deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine
Wiederherstellungspunkte auch gelöscht. Sollte es sich um einen Befall von
Malware handeln sind die Sicherungspunkte sowieso unbrauchbar..

Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Downloade dann bitte MalwareBytes und mache einen Vollscan. Logfile dann hier bitte posten.

Danach suchen wir mal einen eventuellen Rootkit

xiphox

20.02.2009 15:06

So, habe das ganze jetzt mal 3 Stunden durchlaufen lassen und der Rechner lässt sich mittlerweile kaum noch bedienen, da er so ausgelastet ist. Hier der Bericht:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1780
Windows 5.1.2600 Service Pack 2

20.02.2009 14:48:00
mbam-log-2009-02-20 (14-48-00).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 207141
Laufzeit: 3 hour(s), 6 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 28
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\clientax.clientinstaller (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{5b6689b5-c2d4-4dc7-bfd1-24ac17e5fcda} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{031cbf6a-c70e-4177-a0d4-c5268ee311fb} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2b0eceac-f597-4858-a542-d966b49055b9} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6c092742-10fe-4db2-988d-fc71948de70c} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7fa8976f-d00c-4e98-8729-a66569233fb5} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{a16650a9-b065-40ec-bbd1-f8d370d17fb1} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{bdddf1a5-51a9-4f51-b38d-4cd0ad831b31} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ddea2e1d-8555-45e5-af09-ec9aa4ea27ad} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e43dfaa6-8c16-4519-b022-8792408505a4} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f1f1e775-1b21-454d-8d38-7c16519969e5} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0ac49246-419b-4ee0-8917-8818daad6a4e} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{51cf80dc-a309-4735-bb11-ef18bf4e3ad9} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{99410cde-6f16-42ce-9d49-3807f78f0287} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f31a5d11-bf0b-4a4e-90af-274f2090aaa6} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\clientax.clientinstaller.1 (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\clientax.requiredcomponent (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\clientax.requiredcomponent.1 (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\clientax.zangoclientax (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\clientax.zangoclientax.1 (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\lmgr180.wmdrmax (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\lmgr180.wmdrmax.1 (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Zango (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\zango (Adware.180Solutions) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Zango (Adware.180Solutions) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\History (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\Settings (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\ClientAX.dll (Adware.180Solutions) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\-ts1-\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Programme\Zango\zango.exe (Adware.180Solutions) -> Quarantined and deleted successfully.
C:\Programme\Zango\zangoau.dat (Adware.180Solutions) -> Quarantined and deleted successfully.
C:\Programme\Zango\zangohook.dll (Adware.180Solutions) -> Quarantined and deleted successfully.
C:\Programme\Zango\zango_gdf.dat (Adware.180Solutions) -> Quarantined and deleted successfully.
C:\Programme\Zango\zango_kyf.dat (Adware.180Solutions) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\History\search (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Redwulf

20.02.2009 21:25

Zango, dacht ich mir

Zitat:

Zango ist ein Adware-Programm von 180Solutions. Dieses Prozess überwacht Ihr Suchverhalten und schickt gesammelte Daten an den Autoren des Programms, um die Analyse auszuführen. Danach werden die Benutzer mit auf sie zugeschnittener Werbung belästigt: es werden Popups eingeblendet, die sehr belästigend sind und die Internetverbindung stören können. Zango ist eine Sicherheitsbedrohung, die schnellstmöglich aus deinem System entfernt muss.

Das ist die Erklärung für deine CPU Auslastung.

Ich denke, soweit ich das überblicken kann hat Malwarebyte alle Files und Reg Einträge von Zango beseitigt. Wir müssen nur noch den Müll rauskehren. Installiere dir CCleaner und lasse das Programm entsprechend laufen ( siehe Anleitung )

Poste dann bitte nochmal ein Hijack this

xiphox

21.02.2009 15:08

Auch das habe ich jetzt gemacht und es ist auch etwas besser als zuletzt, jedoch immernoch extrem langsam. Wenn nur Firefox geöffnet ist, habe ich zwischen 60 und 90% Auslastung. Hier nochmal der Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:23, on 21.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {EE3B3F4B-3B93-4B9D-908E-A6206A076361} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {EE3B3F4B-3B93-4B9D-908E-A6206A076361} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092733492931
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2151553-5EEB-4E04-B793-1201BD4A41D3}: NameServer = 141.22.138.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9264 bytes

Redwulf

21.02.2009 17:45

Du hast leider sehr viel Müll auf deinem Rechner. Verzeih die Ausdrucksweise, aber viele darunter sind Speicherfresser und Datensammler.
Als allererstes solltest du nochmal Hijack This aufrufen, nur Scannen und die nachfolgenden Einträge fixen.

Code:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\..\{A2151553-5EEB-4E04-B793-1201BD4A41D3}: NameServer = 141.22.138.2

Mit Sicherheit könnten wir noch mehr herausnehmen, aber wir lassen jetzt erst mal ein anderes Programm ran.

Bonjour und alles von google brauchst du ebenfalls nicht, entferne dies mit Systemsteuerung / Software. Google tools sind Datenkraken ohne Ende.

Nach dieser ganzen Prozedur lässt du nochmals CCleaner laufen.
Downloade dann SuperAntiSpyware und lasse alles bereinigen was angezeigt wird. Logfile dann hier posten

nochdigger

21.02.2009 18:25

Hallo

den O17 Eintrag lass mal wo er is

Zitat:

(Asked whois.ripe.net:43 about 141.22.138.2)

inetnum: 141.22.0.0 - 141.22.255.255
netname: FH-SOFTLAB
descr: Hochschule fuer angewandte Wissenschaften
descr: Berliner Tor 21
descr: 20099 Hamburg
country: DE
admin-c: JK6-RIPE
tech-c: JK6-RIPE
tech-c: AO554-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: DFN-LIR-MNT
mnt-irt: IRT-DFN-CERT
mnt-routes: DFN-MNT
source: RIPE Filtered
irt: IRT-DFN-CERT
address: DFN-CERT Services GmbH
address: Heidenkampsweg 41
address: D-20097 Hamburg
address: Germany

MFG

xiphox

22.02.2009 01:51

Nur kurz was beim letzten Scan rauskam, morgen dann mehr.

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/22/2009 at 01:17 AM

Application Version : 4.25.1012

Core Rules Database Version : 3769
Trace Rules Database Version: 1729

Scan type : Complete Scan
Total Scan Time : 02:27:59

Memory items scanned : 425
Memory threats detected : 0
Registry items scanned : 8170
Registry threats detected : 14
File items scanned : 110512
File threats detected : 9

Adware.Zango
HKU\S-1-5-21-1697706088-1956237808-1468672505-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{56F1D444-11BF-4879-A12B-79CF0177F038}

Adware.WhenU
HKU\S-1-5-21-1697706088-1956237808-1468672505-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA2325ED-F9EB-4830-8FCE-0BC35B16969B}
HKCR\WUSE.1
HKCR\WUSE.1#WUSE_Id
C:\Programme\WHENUSEARCH\search.dll
C:\Programme\WHENUSEARCH
D:\TOOLS\DAEMON TOOLS\SETUPDTSB.EXE

Adware.180solutions/ZangoSearch
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Zango\Go to Library.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Zango\Uninstall Zango Instructions.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Zango\Zango Customer Support.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Zango

Adware.GAIN/Gator
HKLM\Software\Gator.com
HKLM\Software\Gator.com\Gator
HKLM\Software\Gator.com\Gator\dyn
HKLM\Software\Gator.com\Gator\dyn#PdpFirstStart
HKLM\Software\Gator.com\Gator\stat
HKLM\Software\Gator.com\Gator\stat#Guid
HKLM\Software\Gator.com\Gator\stat#MID
HKLM\Software\Gator.com\GInternet
HKLM\Software\Gator.com\GInternet\Proxy
HKLM\Software\Gator.com\GInternet\Proxy#Enabled

Adware.180solutions/Seekmo/Zango
C:\PROGRAMME\MOZILLA FIREFOX\PLUGINS\NPCLNTAX.DLL
C:\PROGRAMME\MOZILLA THUNDERBIRD\PLUGINS\NPCLNTAX.DLL

xiphox

22.02.2009 12:13

Da ich gestern beim Scan eingeschlafen bin, war ich nur so kurz angebunden. Erneut ist mir aufgefallen, dass nur bei Verbindung ins Internet der Stop Fehler auftritt....dies geschah etwa nach 90min scannen, so dass ich nochmal von vorne beginnen durfte.

Ansonsten ist es äußerst schwer den Rechner noch zu nutzen, da jede Aktion ein ewiges Laden erfordert. Somit muss ich meine Aussage bezüglich Besserung leider zurückziehen.

Die 017 scheint dann also der VPN meiner Uni zu sein und den habe ich jetzt auch nicht angerührt.

Redwulf

22.02.2009 12:28

Komisch, ich hatte die IP auch gecheckt, fand aber zu diesem Zeitpunkt keinen Eintrag. Naja, vieleicht auch ein Tipfehler, ich kanns nicht mehr nachvollziehen. Falls du diese Sache kennst, scheints ja ok zu sein.
Hast du bonjour und die Google Sachen bereits entfernt? Hast du die Einträge vom Superanti bzgl. Zango auch löschen lassen?

xiphox

22.02.2009 12:41

Bonjour und Google Update habe ich gelöscht, SketchUp nutze ich und Earth auch.

Die Superanti Einträge habe ich ebenfalls löschen lassen aber es ändert leider nichts.

Redwulf

22.02.2009 12:46

Lass noch mal Hijack laufen und poste es hier

xiphox

22.02.2009 12:54

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:48:09, on 22.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {EE3B3F4B-3B93-4B9D-908E-A6206A076361} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {EE3B3F4B-3B93-4B9D-908E-A6206A076361} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092733492931
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2151553-5EEB-4E04-B793-1201BD4A41D3}: NameServer = 141.22.138.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7968 bytes

Redwulf

22.02.2009 13:06

Deine Probleme erinnern mich an ein dumpreb problem. Ich habe hierüber mal was gelesen.

Ich denke du bekommst eine Fehlermeldung mit der Aufforderung dies an Microsoft zu senden?

Redwulf

22.02.2009 13:17

Versuche mal bitte folgendes:

Klicke rechts auf Arbeitsplatz / Eigenschaften
dann auf Erweitert
klicke bei Starten und Wiederherstellen auf Eigenschaften
unter
systemfehler siehst du dann Debugginformationen speichern.

Stell hier mal keines ein., Dann reboot und versuchs nochmals.

So langsam habe ich den Verdacht eines Hardwarefehlers bei dir. Aber wir grenzen das Prfoblem jetzt erst mal aus....

Hab jetzt Spätdienst und werde mich später, nach 15.00 Uhr nochmal melden

xiphox

22.02.2009 13:31

Leider ändert sich auch dabei nichts. Bis nachher dann, kann auch erst wieder ab 16.30 h da sein.

Redwulf

23.02.2009 11:09

Sorry, konnte vorher nicht antworten, Spätdienst und Karneval im Rheinland, was soll man machen. Die Dumpreb Aktion sollten wir erst mal wieder rückgängig machen. Das war wohl eine Sackgasse.

Wir müssen ausschließen ob sich Schadware noch auf deinem Rechner befindet und zwar getarnt hinter einem Rootkit. Bisher kann ich nichts erkennen, aber das soll nichts heissen, die Burschen werden schließlich auch besser,. Bitte lade dir Gmer runter und führe einen Scan durch. Poste den Scan bitte hier.....

Ansonsten sollten wir überlegen die Treiber deiner Verbindung zu deinstallieren und neu aufzuspielen, ich denke, dass das Drüberbügeln das Problem nicht beseitigt. Aber erst mal zu Gmer.

Gmer findest du hier:

http://www.gmer.net/gmer.zip

Dann schaun wir mal weiter, falls das negativ sein sollte gehen wir nochmal zurück an deine Treiber.

Es wird mit Sicherheit eine langwierige Sache werden

xiphox

23.02.2009 11:42

Für Karneval hbe ich natürlich Verständnis, auch wenn ich in Hamburg wohne :daumenhoc...

Leider kann ich Gmer nicht durchlaufen lassen, da es immer wieder zu einem Bluescreen kommt, der bis auf eine Änderung bei der "technischen Information" genauso aussieht wie der von mir bereits im ersten Post genannte.

Technische Information:
*** STOP: 0x000000D6 (0x8BBAB000, 0x00000000, 0xB1597c32, 0x00000000)

*** gmer. sys - Address B1597C32 base at B1590000, Datestamp 480733d8

Redwulf

23.02.2009 14:48

Versuche es mal im abgesicherten Modus.....

Der Verdacht liegt nahe, dass du einen Hardwarefehler hast. Hast du irgendetwas an deinem Rechner vor kurzem aufgerüstet?

Versuche Gmer nochmals im abgesicherten Modus...

xiphox

23.02.2009 19:04

Abgesicherter Modus hat funktioniert und lief auch halbwegs normal (falls das irgendeine Aussagekraft hat).

Am Rechner habe ich nichts verändert in der letzten Zeit, das einzige was mir einfällt ist, dass ich vor einiger Zeit mehrere Treiber heruntergeladen habe wegen einer Digitalkamera.

Hier jedenfalls erstmal der Scan von Gmer:

http://www.file-upload.net/download-1478481/gmer.log.html

Redwulf

24.02.2009 12:18

Es dauert noch eine Weile. Auf den ersten Blick habe ich, - und das ist gut - keinerlei rootkits gefunden. Ich möchte jedoch noch eine andere Meinung einholen. Wie ich sehe benutzt du Daemon Tools lite. Kann es sein das du die Adware mit installiert hast? Brauchst du dieses Tool unbedingt? Falls nicht solltest du schon mal eine Deinstallation in Betracht ziehen, da hier sicherlich eine Menge Ressourcen verbraucht werden....
Melde mich später

Redwulf

24.02.2009 20:33

Du hast einige ungewöhnliche Verflechtungen in deinem Gmer Log.
Dies betrifft u.a. die Winlogon Einträge, wie mir auch eben von einem Admin dieses Boards bestätigt wurde...

Das Vorhandensein solch vieler Einträge kann unter Umständen dein System natürlich brutal ausbremsen....

Es ist ungewöhnlich, daher überprüfen wir das jetzt erst mal.

Daher bitte die folgenden Dateien bei Virustotal überprüfen lassen und die Ergebnisse hier vollständig posten,- auch mit den Hash Angaben

Code:

C:\WINDOWS\system32\SHELL32.dll

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\quartz.dll

C:\System32\Drivers\ab3k2hgt.sys

Fals dies zu keinem Ergebnis führt, lade dir bitte Combofix herunter und führe es nur wie hier beschrieben aus:

Zitat:

Code:

Lade ComboFix von h**p://download.bleepingcomputer.com/sUBs/ComboFix.exe 

und speichert es auf den Desktop.
 

Alle Fenster schliessen und combofix.exe starten 

und bestätige die folgende Abfrage mit 1

und drücke Enter.
 

Der Scan mit Combofix kann einige Zeit in Anspruch 

nehmen, also habe etwas Geduld. 
 Während des Scans bitte nichts am Rechner unternehmen

Es kann möglich sein, dass der Rechner zwischendurch

neu gestartet wird. Nach Scanende wird ein Report angezeigt, 

den bitte kopieren und in deinem Thread einfuegen. 
 

Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Hinweis: unter : C:\WINDOWS\erdnt 

wird ein Backup angelegt. 

Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Zitat Ende

Schaun wir mal was sich so ergibt....

PS: Danke Chris

xiphox

24.02.2009 21:51

Ich möchte mich erstmal kurz dafür bedanken, dass ihr mir hier versucht zu helfen und auch so viel Zeit opfert...Danke!!!

Die ersten drei Dateien habe ich bei VirusTotal geprüft und es wurde nichts gefunden. Bei der 4. muss ich sagen, dass ich diese gar nicht finden kann, bzw bei Laufwerk C: kein Ordner System32 existiert. Unter C:\windows\system32\drivers\ gibt es die Datei auch nicht.

Sollte ich sofort mit Combofix arbeiten?

xiphox

24.02.2009 22:48

Hier das Log von Combofix....

Redwulf

25.02.2009 08:54

Mach jetzt erst mal gar nichts....die Auswertung wird einige Zeit in Anspruch nehmen... Fakt ist das es multiple Eintrage gibt, die dein System ausbremsen, ggf. müssen wir nochmal von vorne anfangen...

Eine Frage noch...hast du deine Systemwiederherstellung noch ausgeschaltet oder inzwischen wieder eingeschaltet? Lass sie bitte ausgeschaltet, dass ist wichtig, sonst drehen wir uns im Kreis...

xiphox

25.02.2009 09:33

Ich habe gerade nochmal nach der Systemwiederherstellung gesehen und da war kein Häkchen mehr im Kasten. Habe es wieder deaktiviert, kann mich allerdings nicht errinnern, dass ich es aktiviert hätte.

Ich hoffe, dass macht jetzt nicht alles bisher erfolgte zunichte?!

Redwulf

25.02.2009 14:12

Lassen wir es erst mal so.

da wir bisher keine "bösen" Dinge gefunden haben. Aber lass es jetzt erst mal deaktiviert.

So, wir haben einige Überbleibsel gefunden. Du hattest offensichtlich mal Prevx installiert und offensichtlich wieder gelöscht. Die Rest müssen wir beseitigen. Geh über START :crazy: / Ausführen und tippe dort cmd ein.
Gebe anschließend in der Reihenfolge folgendes ein:

sc stop mailKmd
und
sc delete mailKmd

sowie

sc stop Whaawnusshrp
und
sc delete Whaawnusshrp

Es findet außerdem offensichtlich eine enge Verzahnung von winlogon und der shell32.dll statt, ausgelöst durch eine TuneUp 2004 Installation. Ich persönlich denke, dass du dies deinstallieren solltest. Das gilt auch für Zango --

Anschließend nutzt du nochmal den CCleaner.

Offensichtlich laufen bei dir noch 2 Scripts die wir überprüfen müssen. Hast du die absichtlich laufen? Eines davon heisst ADMIN.vbs, dass andere PC1108.vbs.

Ein weiteres Problem befindet sich in c:\windows\TEMP\mc21.tmp. Lass die vorab mal bei Virustotal überprüfen.

Hast du die Ordneroptionen auf "versteckte und Systemdateien anzeigen " stehen lassen? Bitte überprüfe das vorher...

Poste dann anschließend das Ergebnis von Virustotal hier. Beantworte mir bitte die Frage ob du die Scripts eingebracht hast bevor wir die überprüfen..

xiphox

25.02.2009 19:17

Also, ich werde mich jetzt gleich mal daran machen, wie beschrieben vorzugehen.

Zango würde ich ja gerne deinstallieren aber es wird nicht angezeigt...weder bei CCleaner noch unter Systemeigenschaften\software. Wie bekomme ich es runter?

Was genau meinst Du mit Scripts? Was könnte das sein, absichtlich lasse ich nämlich eigentlich nichts laufen.....

Redwulf

25.02.2009 19:44

Bezüglich Zango...guck mal hier rein

c:\programme\zango\zango.exe

Ist das File oder der Ordner noch da?

Ein Script. Nunja ich versuchs mal einfach zu erklären. Die Scripts die wir gefunden haben sind sogenannte VB Scripts also in Visual Basic geschriebene programme die Programmabläufe automatisieren, z.B.:

Code:

Option Explicit 

Dim objShell

Set objShell = CreateObject("WScript.Shell")

objShell.Run "notepad"

würde zum Beispiel automatisiert Notepad öffnen.

Nähere Erläuterungen findest du hier:
Visual Basic Script ? Wikipedia

Nun 2 dieser Scripts laufen auf deinem PC, deshalb die Frage unsererseits ob du die vieleicht gewollt hineingebracht hast. Falls nicht, müssen wir uns später nochmal damit beschäftigen. Auf jeden Fall, rühr die Dinger nicht an oder klick drauf !!!

Bitte führe jetzt die Kommandos in cmd jetzt aus und versuche nochmals das file zu Virustotal hochzuladen. Falls du noch etwas von Zango findest, lösche es von Hand. Deinstalliere auch Tune up 2004.

Hiernach führst du nochmals den CC Cleaner aus...

xiphox

25.02.2009 19:57

Ok, die cmd Kommandos habe ich ausgeführt.

Zango kann ich nichts finden, auch nicht über die Suche. Tune Up ist deinstalliert.

Das File kann ich nicht hochladen, da die Ordner so wie Du es geschrieben hast nicht zu finden sind. bis temp komme ich aber da gibt es nichts....

Redwulf

25.02.2009 22:05

OK, ist der Rechner immer noch so ausgelastet?
Mit den Scripts muss ich nochmal Rücksprache nehmen....

Lass auf jeden Fall nochmal CCleaner laufen

xiphox

25.02.2009 22:31

Der Rechner ist nach wie vor total fertig. Firefox öffnen dauert einige Minuten.

CCleaner habe ich nochmal laufen lassen.

Warum finde ich denn die Dateien nicht, wenn ihr sie seht?

Redwulf

26.02.2009 06:51

OK, ich habe noch jemanden vom Kompetenzteam hinzugezogen. Ich denke wir sind lange noch nicht fertig, ggf. müssen wir nochmal von vorne anfangen.
Hast du mal ausprobiert den Rechner vom Netz zu trennen? Wie verhält er sich offline? Ebenso oder gibts da eine Veränderung?

Vermutungen sind nicht meine Stärke, ich kanns dir nicht sagen. Wir müssen uns schon auf die Logs konzentrieren.

Es kann ggf. daran liegen das du die Ordneroption " Versteckte und Systemdateien anzeigen" vieleicht nicht aktiviert hast.

Also warten wirs mal ab. Auich wenn du nichts von mir hörst, wir arbeiten im Hintergrund daran, vorrangig versuchen wir erst mal herauszufinden was es mit den Scripts auf sich hat....

Du hörst garantiert wieder von mir....

xiphox

26.02.2009 07:35

Ich kann mich nur wiederholen, dass ich es super finde, dass ihr euch die Zeit nehmt und nach den Ursachen für meine Problematik forscht.

Versteckte Dateien lasse ich immer anzeigen, doch auch da finde ich die besagten nicht.

Der Unterschied den ich erkenne, wenn der Rechner nicht im W-Lan verbunden ist, ist das es nicht zum Bluescreen Fehler "irql not less or equal" kommt. Die Auslastung verändert sich dadurch jedoch nicht.

Was mir noch einfällt ist, dass ich, kurz bevor die Auslastungsprobleme begonnen haben, noch mit Tune Up einige Optimierungen laufen lassen habe. Der Bluescreen kam jedoch schon vorher.

Vielleicht hilft es noch wenn ich euch sage, dass die Auslastung nicht stetig einen hohen Wert aufzeigt, sondern ständig springt....35....41....75.....38...usw. Dabei verändert sich auch immer der Wert vom Leerlauf und explorer.exe, alle anderen bleiben weitestgehend gleich, außer vielleicht mal 1%.

Redwulf

26.02.2009 09:11

Ich denke....also bin ich.........

Nachdem die Tools nun von dir deinstalliert sind, dürften sie eigendlich keine Probleme mehr machen, außer das die Einstellungen irgendwie zurückgeblieben sind. Es sind so viele Einträge, dass ich vermute das gerade diese dein System ausbremsen. Aber deine Scripts muss ich auf jeden Fall überprüfen.

Versuche bitte die beiden Scripts in deinem Rechner zu finden und schicke sie mir via email. Ich muss da mal drüber schauen. Meine Adresse wirst du in deinen persönlichen Nachrichten finden.

Falls uns das nicht weiterhilft, werden wir auf andere Art und Weise versuchen dein System wieder auf Vordermann zu bringen....

Redwulf

26.02.2009 22:01

Ok wir sollten hier weitermachen und nicht über PM, damit andere User mitlesen können.

Versuche bitte die beiden Scripts auf dem Rechner mittels der Window Suche zu finden. Denk daran auch die Unterordner und versteckte Ordner mit einzubeziehen. Sende sie mir dann bitte zu. Ich schau dann drüber bevor wir weitermachen.

Falls du sie immer noch nicht finden kannst, werden wir auf andere Weise dein Windows in den Urzustand zu versetzen.

Wir gehen dann wie folgt vor:

System Reparieren:
Vorher ggf. Backup machen

Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
http://www.iobit.com/advancedwindows...l?Str=download

Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.

Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.

Führe dann einen Update der Signatur/Reparaturdateien aus.

Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.

Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

Definitiv haben dir Tune up 2004 Tools dein System strubelig gemacht. Dann machen wir weiter...

xiphox

27.02.2009 10:04

Da ich die Scripte leider nicht finden kann, habe ich jetzt "Advanced Windowscare Professional" durchlaufen lassen. Hat auch einige Fehler gefunden und behoben. Ansonsten aber keine Veränderung, nach wie vor extrem langsam alles.

Adler-Wolf

27.02.2009 10:28

Zitat:

wenn der Rechner nicht im W-Lan verbunden ist, ist das es nicht zum Bluescreen Fehler "irql not less or equal"

Ich glaube das es ein Treiber Fehler ist.

Hast du alle Treiber auf dem neusten Stand ?

Bzw. hast du auch alle Treiber für deinen Computer installiert?

Wenn du dir nicht sicher bist poste uns doch mal deine Computer Komponenten.
Ach extere Geräte.

Redwulf

27.02.2009 11:24

Leider ergibt sich, und dass wusstest du nicht Adler da wir über PM auch gearbeitet haben, keinerlei Verbesserung im Offline Modus. Aber wir sollten einen Hardware oder Software Fehler grundsätzlich nicht ausschließen.

Mir lassen jedoch die Scripts keine Ruhe. Wir müssen sie nur finden.
Versuche nochmals die Windows Suche.

Code:

Gehe auf Start

Suchen

Dort auf Dateien und Ordnern

Gebe dort ein *.vbs

Bevor du jedoch auf Suchen drückst

WEITERE OPTIONEN

stelle sicher das hier

Systemordner

Versteckte Elemente

Unterordner durchsuchen

angehackt ist...

Du müsstest dann als Suchergebnis alle deine vb Scripts angezeigt bekommen.
Suche die beiden Namen und sende mir die files....

Wir machen folgendes: Nutze nochmals CCleaner, lass alles bereinigen, bis das keine Fehler mehr kommen.

Bitte lass auch noch einmal Combofix laufen und poste das Log hier. Desweiteren noch einmal SuperAntiMalware. Mich interessiert ob wir immer noch so viele Verzahnungen haben zwischen der Winlogon und Shell32. Offensichtlich ist noch was von TuneUp übriggeblieben, ich tippe da mal auf den WinstylerThemeHelper. Müssen wir aber nochmal nach dem frischen ComboFix überprüfen.

Wenn das alles nicht hilft, sollten wir darüber nachdenken die Treiber zu deinstallieren, mit CCleaner aufzuräumen um dann die Treiber, ggf. ein Update, frisch zu installieren.

Schaun wir mal....

Redwulf

27.02.2009 13:16

Sooooooo, ich habe grad mal mit meinem Kontakt bei Microsoft gesprochen.

Die von dir vorher genannte Fehlermeldung deutet seiner Meinung nach auf 2 Dinge hin.

Entweder handelt es sich um ein Treiberproblem ( dafür spricht die springende Explorer.exe ) oder es handelt sich um ein Speicherproblem deines Rams ( Arbeitsspeicher )

Die Fehlermeldung bedeutet im einzelnen:
0x000000D6: DRIVER_PAGE_FAULT_BEYOND_END_OF_ALLOCATION
Es wurde Versucht von/auf eine auslagerungsfähige ( oder vollständig ungültige) Adresse um eine Interrupt-Anforderungsebene (IRQL) zugreifen, die zu hoch ist. Das wird normalerweise von Treibern verursacht, die fehlerhafte Adressen verwenden

Abhilfe und testen:

Versuche alle Treiber auf den neuesten Stand zu bringen, oder deinstalliere die Treiber die du neulich aufgespielt hast. ( setzt voraus das du dich erinnerst welche du aufgespielt hast.
ODER
Wenns einfach geht und du 2 Speichermodule hast: Nimm jeweils eines heraus und teste ob eine Verbesserung eintritt.

Als Zusatz: Unbedingt updaten auf SP3

Wir sollten jedoch bevor du das machst die vorangegangene Operation erst mal abschließen um auszuschließen das die Scripts oder andere Dinge den Rechner stören....

xiphox

27.02.2009 16:38

Liste der Anhänge anzeigen (Anzahl: 1)

Also, ich habe nochmal nach den Scripten gesucht und leider ist nichts aufzufinden....warum auch immer?

Dann habe ich nochmal CCleaner alles bereinigt und Combofix sowie SuperAntiMalware laufen lassen. Log ist angehängt.

Bei den Treibern weiß ich leider nicht mehr welche es waren, kann man denn sonst alle löschen und neu installieren? Hänge auch hierzu mal einen screenshot an.

Redwulf

27.02.2009 16:43

Brauch nen Moment fürs Log.....

Redwulf

27.02.2009 16:56

Die beiden Scripte sind immer noch eingetragen im Log, desweiteren finde ich noch Reste von Zango und TuneUp Tools.
Muss was basteln.....melde mich gleich

Sunny

27.02.2009 17:34

Die IP-Adresse sollte legitim sein, sofern xiphox das hier etwas sagt:

Zitat:

Hostname: servercca.cca1.haw-hamburg.de
ISP: Hochschule fuer angewandte Wissenschaften
Organization: Hochschule fuer angewandte Wissenschaften
Country: Germany
State/Region: 04
City: Hamburg

Die Datei /-en -> c:\windows\TEMP\mc21.tmp sollten Überreste von SpywareDoctor sein, sofern dieses mal installiert war..

Ansonsten, so wie es Redwulf gerade mir gegenüber auch schon erwähnte, könnte es auch ein Hardwarefehler sein mit dem IRQL...

Redwulf

27.02.2009 19:19

Gehen wirs nochmal an:

Kopiere bitte die nachfolgenden Einträge und sichere sie auf deinem Desktop als cfscript.txt auf deinem Desktop.

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript. mit der rechten Maustaste auf das Symbol von Combofix ziehen

http://virus-protect.org/artikel/bilder/cfscript.gif

Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

In C:\ComboFix.txt ist alles gespeichert, kopiere es ab und poste das Log hier.

Hier das Script:

Code:

KILLALL:
 

REGISTRY::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{50e416b0-effe-11db-a12f-00059a3c7800}]
 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a011e856-95fe-11dd-a475-00059a3c7800}]
 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0213be0-825f-11dd-a459-000e355161ad}]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"DAEMON Tools"=-
 

FILE::

c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe

c:\windows\Tasks\1-Klick-Wartung.job

c:\programme\zango\zango.exe
 

FOLDER::

c:\programme\TuneUp Utilities 2004

c:\programme\zango

Ich hoffe das bringt jetzt was, falls nicht...ists definitiv ein Hardware Fehler

Ich drück die Daumen:daumenhoc

xiphox

27.02.2009 21:48

So, hier wäre dann nochmal das Log...

Ich möchte noch einmal meine Frage von vorhin aufgreifen, meinst Du ich könnte alle Treiber löschen und neu installieren? Und wenn ja, wie ginge ich dann genau vor? Hältst Du das für sinnvoll?

xiphox

27.02.2009 22:00

Anhang vergessen :balla:

Redwulf

28.02.2009 09:49

das Log ist soweit ok. Ich meinte eigendlich Treiber die du selbst installiert hast, z.B. die Kamera. Nichts von deiner Hardware die Windows während seiner Installation selbst installiert hat. Alles was du nachträglich selbst installiert hast.

Gibt es bei dir irgendeine Veränderung am PC?

xiphox

28.02.2009 15:43

Soweit ich mich erinnere habe ich nur Kamera- und Druckertreiber installiert. Irgendwie kann ich aber auch nicht erkennen, welche Treiber notwendig sind und welche nicht. Beispiel Kamera, es handelte sich meiner Meinung nach um USB Treiber aber aus den Bezeichnungen werde ich nicht schlau.

Wie bekomme ich das jetzt raus?

Redwulf

28.02.2009 18:10

Eine Möglichkeit ist die:

Gehe auf Start / Systemsteuerung / System / Hardware / Gerätemanager

Hier ist dein "kompletter" Computer gelistet.

Hier findest du all deine Hardware. Wenn du mit der rechten Maustaste auf einen der Einträge gehst, kannst du u.a. die Treiberinformation sehen, einen Treiber updaten und deinstallieren, bzw. installierte Treiber wieder herstellen falls ein neuer Treiber nicht funktioniert. Du solltest aber wissen was du tust..

Eine einfachere Lösung ist unter u.U. Systemsteuerung / Software zu finden. Hier siehst du all deine Software die installiert ist, auch Software die du vieleicht für deine Kamera oder Drucker benutzt. In einigen Fällen werden die Treiber dann mit deinstalliert. Schau dir dort an was du brauchst oder nicht. Falls du dich entschließt etwas zu deinstallieren solltest du auf jeden Fall den CCleaner wieder laufen lassen....

Falls die ganze Treibersache keine Verbesserung bringt, würde ich an deiner Stelle alle notwendigen Sachen deines PC´s mittels Backup Programmen sichern. ( Ich persönlich nutze Paragon Backup ). Lass deinen PC durch einen authorisierten Fachhändler auf Herz und Nieren prüfen.

Ich denke, das einer deiner Treiber versucht auf einen Adressbereich deines Speichers zuzugreifen der einen Defekt aufweist. Hierdurch kommt es zu dem STOP.

Wie gesagt, zur Zeit können wir nur mit Bestimmtheit sagen, dass du kein schädliches Programm auf deinem PC hast. Ein Treiber oder Hardwareproblem ist mit Sicherheit anzunehmen. Hohe Temperaturen am Laptop, Übertaktung etc können eine Ursache hierfür sein.

Experimentell kann man noch einiges über das Systemkonfigurationsprogramm versuchen, aber ich denke die Überprüfung bei einem Fachhändler wäre einfacher und nicht so Zeitaufwendig..

Fall du dies doch noch mit mir versuchen möchtest, lass es mich wissen....

Redwulf

02.03.2009 10:15

Ich habe seit einigen Tagen nichts mehr von dir gehört...
Ich betrachte den Thread somit als gelöst und du wirst ein Fachunternehmen deines Vertrauens aufgesucht haben. Falls nicht und du noch weiter meine Hilfe benötigst....kurze PM bitte

xiphox

02.03.2009 16:03

Entschuldige bitte mein spätes Antworten, bin nur gerade umgezogen und heute war dann noch Abnahme....also etwas viel zu tun die letzten Tage.

Einen Fachhändler würde ich vorerst nicht so gerne aufsuchen und dementsprechend wäre mir der andere Weg lieber. Aber ich könnte auch verstehen, wenn das jetzt zu zeitintensiv ist.

Solltest Du Dir also die Zeit nehmen wollen, dann würde ich mich sehr freuen.

Redwulf

02.03.2009 18:49

OK, machen wir, siehe PM

xiphox

02.03.2009 21:06

Habe eben mal etrust runtergeschmissen und Antivir installiert. Gerade kam die Melsung, dass das trojanische Pferd TR/Agent.7600.A gefunden wurde.

Ist das eine Fehlmeldung oder habe ich jetzt doch was drauf?

Redwulf

03.03.2009 11:09

Ich denke du hast deine Wiederherstellung noch deaktiviert? Falls nicht, bitte nochmal deaktivieren. Stelle deine Ansicht / Ordneroptionen auch wieder auf versteckte und Systemdateien einblenden EIN

Wir müssen nochmal von vorne beginnen...
Lass nach der ganzen Aktion die wir durchgeführt haben, nochmal CCleaner laufen, hiernach nochmal MalwareBytes. Poste bitte nochmals das Logfile.
Lösche alle Funde bei Abschluß.

Gib mir dann nochmal das neueste Hijack this....

xiphox

03.03.2009 11:53

Das habe ich schonmal vorsorglich gemacht und MalwareBytes hat nichts gefunden.

Der Rechner stürzt mittlerweile doch wieder ab, allerdings ohne Bluescreen. Geht einfach aus und fährt dann wieder von alleine hoch. Alles aber nur, wenn Verbindung zum Netz vorhanden ist.

Der erwähnte Trojaner wurde jetzt von Antivir auch noch in einem anderen Ordner gefunden.

xiphox

03.03.2009 11:57

Hier das Log...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:52:16, on 03.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {EE3B3F4B-3B93-4B9D-908E-A6206A076361} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {EE3B3F4B-3B93-4B9D-908E-A6206A076361} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092733492931
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2151553-5EEB-4E04-B793-1201BD4A41D3}: NameServer = 141.22.138.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7150 bytes

Redwulf

03.03.2009 12:41

Lösche die Quarantäne von Avira erstmal...

Bin zur Zeit noch nicht zu Hause, melde mich später nochmal---

Redwulf

03.03.2009 13:06

Jan

lade dir zwischenzeitlich Gmer runter, installiere es und lass es laufen
Bitte poste das Log File.

Gmer findest du hier: http://www.gmer.net/gmer.zip

Redwulf

03.03.2009 16:13

Hallo Jan

Zusätzlich fixe diese Einträge noch mit Hijack this

Code:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - http://www.medionshop.de/ (file missing) (HKCU)

Update dein Avira UND ...brauchst du wirklich dein ICQ?

Lass nach all diesen Aktionen nochmal CCleaner laufen...

so, nun wollmer doch mal sehen.....

xiphox

03.03.2009 16:43

Hier erstmal das Gmer Log und alles andere mache ich erst jetzt, da ich es vorher nicht gelesen hatte.

http://www.file-upload.net/download-1497535/gmer.log.html

ICQ kommt auch runter...

xiphox

03.03.2009 17:59

So, habe das ganze nochmal im abgesicherten Modus mit Netzwerktreibern gemacht. Weiß ja nicht, ob es was bringt.

Übrigens, auch Daemon kann ich nicht deinstallieren, sonst wäre es schon weg.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-03 17:46:42
Windows 5.1.2600 Service Pack 2

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xB1 0x84 0x80 0xE6 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x1E 0x6F 0xD5 0xB1 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Tools\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x64 0x5F 0x0C ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xE9 0x8D 0x13 0x38 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xB1 0x84 0x80 0xE6 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x1E 0x6F 0xD5 0xB1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Tools\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x64 0x5F 0x0C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xE9 0x8D 0x13 0x38 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xB1 0x84 0x80 0xE6 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x1E 0x6F 0xD5 0xB1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Tools\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x64 0x5F 0x0C ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xE9 0x8D 0x13 0x38 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FDC54BE8-7780-0B90-5E95-CB436D5D6669}\InprocServer32@ C:\WINDOWS\system32\quartz.dll
Reg HKLM\SOFTWARE\Classes\CLSID\{FDC54BE8-7780-0B90-5E95-CB436D5D6669}\InprocServer32@ThreadingModel Both

---- EOF - GMER 1.0.14 ----

Redwulf

03.03.2009 20:39

Hallo Jan

Ich hab mir beide Log angeschaut. Das Erste ist mal wieder riesig, beide sind jedoch ok. Scheint als ob der Virenscanner den angeblichen Trojan erwischt hat.

Eine Datei jedoch sollten wir versuchen unbedingt zu finden und zu überprüfen. Beim ersten Mal hast du sie nicht gefunden.

C:\Windows\System32\Drivers\ab3k2hgt.sys

Die müssen wir auf jeden Fall checken !!

xiphox

03.03.2009 21:36

Moin,

habe nochmal alles versucht aber ich kann die Datei einfach nicht finden. Was meinst Du was wir da machen können?

Ist es eigentlich normal, dass der Rechner im abgesicherten Modus absolut flüssig läuft?

Redwulf

03.03.2009 22:11

Gibts doch nicht...die muss doch da sein...

Hast du auch deine Ordneroption richtig eingestellt, auf versteckte und Systemdateien anzeigen?

Zu deiner Frage: JA, da er nur das Nötigste laden muss. Ich habe auch einen Weg gefunden den SPDT Kram unschädlich zu machen. Das braucht Windows nämlich nicht...Da müssen wir aber nochmal telefonieren. Ist ein wenig komplizierter. Hab mir den ganzen Tag den Kopf darüber zerbrochen....aber es geht.

Ich denke du hast soweit alles erledigt, nach deinen Löschaktionen brauchst du nochmal CCleaner, schick mir bitte auch nochmal ein frisches Hijack..

Ich hab morgen Vormittag frei, vieleicht hast du ja Zeit und kannst anrufen. Wir machen dann mal eine Operation am offenen Herzen :lach:
Ne Quatsch, Spaß beiseite, aber wir werden mal die Datei gemeinsam suchen.

GGF bis Morgen

Redwulf

04.03.2009 10:33

Jan

der Eintrag:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

verweist auf eine alte, unsichere Version des Readers. Deinstalliere den alten
Reader und hol dir den Neuesten.

Den Eintrag fixen

Alle Zeitangaben in WEZ +1. Es ist jetzt 11:11 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131