Trojaner-Board - Problem beim Scannen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Problem beim Scannen (https://www.trojaner-board.de/78871-problem-beim-scannen.html)

Problem beim Scannen

Hallo liebes forum, also ich habe folgendes Problem...
Ich denke ich habe irgendwas schlimmes auf mein PC...
ich bin sehr aktiver gamer und wurde bereits in 2 Spielen gehackt... nun is ja kein Problem die Accounts zurück zuholen aber gestern passierte es wieder..
so nun wollte ich mein Pc mal auf Viren Checken aber mein Anti vir programm kommt nicht sehr weit, ziwschen 10 - 20% hängt sich mein Pc auf ich kann die Maus noch bewegen aber nichts mehr klicken usw...
danach habe ich es im Abgesicherten Modus versucht da kam ich bis 31% und dann passierte erneut das Selbe. Ich habe mir schon ein anderes Anti vir programm geholt aber da passiert genau das selbe...
bin total ratlos und ich denke ich habe echt was schlimmes aufn Rechner..
brauche gute hilfe...

:(

Hallo dome

Versuche mal hier den Punkt 2 abzuarbeiten http://www.trojaner-board.de/69886-a...-beachten.html

Gruß

Acid

Soll ich die Programme dann alle Runterladen und durchlaufen lassen und die Ergebnisse hier posten?

Zitat:

Zitat von dome17 (Beitrag 476287)

Soll ich die Programme dann alle Runterladen und durchlaufen lassen und die Ergebnisse hier posten?

Genau das. :)

Kannst die aber auch als Anhang an deine Antwort packen gerade die RSIT logs können unter umständen recht groß sein, außerdem hab ich dann den Vorteil und kann sie mir direkt im editor ansehen. ;)

Gruß

Acid

also bei Malwarebytes-Anti-Malware hat es sich wieder weggehangen...
und den CCcleaner hab ich erfolgreich beendet...

nunja und bei RSIT kam das bei mir raus

Logfile of random's system information tool 1.06 (written by random/random)
Run by dome at 2009-10-27 17:22:47
Microsoft Windows XP Professional Service Pack 3
System drive C: has 28 GB (56%) free of 51 GB
Total RAM: 2046 MB (79% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:22:53, on 27.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINXP\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\RTHDCPL.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe
C:\Programme\Java\jre6\bin\jusched.exe
D:\Winamp\winampa.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINXP\system32\nvsvc32.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
D:\opera.exe
C:\WINXP\system32\wuauclt.exe
D:\RSIT.exe
C:\Programme\trend micro\dome.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1240854958156
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINXP\system32\GameMon.des.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe

--
End of file - 8402 bytes

======Scheduled tasks folder======

C:\WINXP\tasks\1-Klick-Wartung.job
C:\WINXP\tasks\Ad-Aware Update (Weekly).job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
Search Helper - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll [2009-05-19 137600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-09-10 256112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll [2009-10-04 762864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
Google Dictionary Compression sdch - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-09-10 458736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-08-20 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
Windows Live Toolbar Helper - C:\Programme\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-08-20 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Programme\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-09-10 256112]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"=C:\WINXP\SkyTel.EXE [2006-05-16 2879488]
"NvCplDaemon"=C:\WINXP\system32\NvCpl.dll [2007-09-16 8491008]
"nwiz"=nwiz.exe /install []
"KernelFaultCheck"=C:\WINXP\system32\dumprep 0 -k []
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"RTHDCPL"=C:\WINXP\RTHDCPL.EXE [2007-02-26 16125440]
"Alcmtr"=C:\WINXP\ALCMTR.EXE [2005-05-03 69632]
"NvMediaCenter"=C:\WINXP\system32\NvMcTray.dll [2007-09-16 81920]
"Google Quick Search Box"=C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe [2009-06-22 68592]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-08-20 149280]
"WinampAgent"=D:\Winamp\winampa.exe [2009-07-01 37888]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINXP\system32\ctfmon.exe [2008-04-14 15360]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-04-16 39408]
"msnmsgr"=C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"Skype"=C:\Programme\Skype\Phone\Skype.exe [2009-07-16 25604904]
"StartXChar"= []
"PlayNC Launcher"= []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
WgaLogon.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINXP\system32\wpdshserviceobj.dll [2008-12-10 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255
"NoDriveAutoRun"=67108863
"HonorAutorunSetting"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"HonorAutorunSetting"=
"NoDriveTypeAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe:*:Enabled:Apache HTTP Server"
"D:\ICQ6.5\ICQ.exe"="D:\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe"="C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe"="C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"

======List of files/folders created in the last 1 months======

2009-10-27 17:20:48 ----D---- C:\rsit
2009-10-27 17:20:48 ----D---- C:\Programme\trend micro
2009-10-27 17:08:45 ----D---- C:\Dokumente und Einstellungen\dome.DOME-7705E5FC68\Anwendungsdaten\Malwarebytes
2009-10-27 17:08:41 ----D---- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
2009-10-26 16:19:11 ----D---- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Kaspersky Lab Setup Files
2009-10-26 15:56:59 ----AD---- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP
2009-10-26 15:56:56 ----A---- C:\WINXP\system32\MSSTDFMT.DLL
2009-10-26 15:33:05 ----D---- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Lavasoft
2009-10-15 13:03:26 ----HDC---- C:\WINXP\$NtUninstallKB958869$
2009-10-15 13:02:37 ----HDC---- C:\WINXP\$NtUninstallKB969059$
2009-10-15 13:02:34 ----HDC---- C:\WINXP\$NtUninstallKB954155_WM9$
2009-10-15 13:02:31 ----HDC---- C:\WINXP\$NtUninstallKB974112$
2009-10-15 13:02:28 ----HDC---- C:\WINXP\$NtUninstallKB975025$
2009-10-15 13:02:05 ----HDC---- C:\WINXP\$NtUninstallKB974571$
2009-10-15 13:02:00 ----HDC---- C:\WINXP\$NtUninstallKB971486$
2009-10-15 13:01:55 ----HDC---- C:\WINXP\$NtUninstallKB973525$
2009-10-15 13:01:46 ----HDC---- C:\WINXP\$NtUninstallKB975467$
2009-10-13 09:53:33 ----HDC---- C:\WINXP\$NtUninstallKB968389$

======List of files/folders modified in the last 1 months======

2009-10-27 17:20:48 ----RD---- C:\Programme
2009-10-27 17:19:36 ----D---- C:\WINXP\Temp
2009-10-27 17:17:56 ----D---- C:\WINXP\system32\CatRoot2
2009-10-27 17:17:53 ----D---- C:\Dokumente und Einstellungen\dome.DOME-7705E5FC68\Anwendungsdaten\Skype
2009-10-27 17:17:50 ----D---- C:\WINXP
2009-10-27 17:08:42 ----D---- C:\WINXP\system32\drivers
2009-10-27 17:03:05 ----D---- C:\WINXP\Debug
2009-10-27 16:57:18 ----D---- C:\Dokumente und Einstellungen\dome.DOME-7705E5FC68\Anwendungsdaten\Winamp
2009-10-27 14:45:37 ----D---- C:\WINXP\system32
2009-10-27 14:45:36 ----A---- C:\WINXP\system32\PerfStringBackup.INI
2009-10-27 14:40:27 ----N---- C:\WINXP\SchedLgU.Txt
2009-10-27 14:23:24 ----D---- C:\Dokumente und Einstellungen\dome.DOME-7705E5FC68\Anwendungsdaten\skypePM
2009-10-26 19:59:36 ----RSD---- C:\WINXP\assembly
2009-10-26 19:59:13 ----D---- C:\WINXP\Microsoft.NET
2009-10-26 18:56:53 ----SHD---- C:\WINXP\Installer
2009-10-26 18:56:47 ----DC---- C:\WINXP\system32\DRVSTORE
2009-10-26 18:56:46 ----HD---- C:\WINXP\inf
2009-10-26 18:56:30 ----D---- C:\Programme\Windows Live
2009-10-26 18:55:52 ----D---- C:\WINXP\system32\DirectX
2009-10-22 12:51:02 ----D---- C:\Dokumente und Einstellungen\dome.DOME-7705E5FC68\Anwendungsdaten\teamspeak2
2009-10-15 13:04:37 ----D---- C:\WINXP\WinSxS
2009-10-15 13:02:39 ----RSHDC---- C:\WINXP\system32\dllcache
2009-10-15 13:02:21 ----D---- C:\WINXP\system32\de-de
2009-10-15 13:02:21 ----D---- C:\Programme\Internet Explorer
2009-10-15 13:01:58 ----HD---- C:\WINXP\$hf_mig$
2009-10-11 19:52:01 ----D---- C:\WINXP\Prefetch
2009-10-02 19:01:57 ----A---- C:\WINXP\system32\MRT.exe
2009-09-29 15:34:42 ----HD---- C:\Programme\InstallShield Installation Information
2009-09-29 15:24:45 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2009-09-29 15:24:43 ----D---- C:\Dokumente und Einstellungen

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINXP\system32\DRIVERS\avipbb.sys [2009-04-27 96104]
R1 BIOS;BIOS; \??\C:\WINXP\system32\drivers\BIOS.sys []
R1 ssmdrv;ssmdrv; C:\WINXP\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R2 avgntflt;avgntflt; C:\WINXP\system32\DRIVERS\avgntflt.sys [2009-08-05 55656]
R2 fssfltr;FssFltr; C:\WINXP\system32\DRIVERS\fssfltr_tdi.sys [2009-08-05 54752]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINXP\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINXP\system32\drivers\RtkHDAud.sys [2007-03-01 4484608]
R3 nv;nv; C:\WINXP\system32\DRIVERS\nv4_mini.sys [2007-09-16 6853088]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINXP\system32\DRIVERS\NVENETFD.sys [2006-07-11 57856]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINXP\system32\DRIVERS\nvnetbus.sys [2006-07-11 20480]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINXP\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINXP\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINXP\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
S3 EagleNT;EagleNT; \??\C:\WINXP\system32\drivers\EagleNT.sys []
S3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINXP\system32\drivers\mbamswissarmy.sys []
S3 NTGUARD;NTGUARD; \??\D:\virus utilities\bin\NTGUARD.SYS []
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINXP\system32\DRIVERS\WudfPf.sys [2008-12-10 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINXP\system32\DRIVERS\wudfrd.sys [2008-12-10 82944]
S4 IntelIde;IntelIde; C:\WINXP\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 ForcewareWebInterface;Forceware Web Interface; C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe [2006-04-03 20543]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-08-20 153376]
R2 nSvcIp;ForceWare IP service; C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe [2006-07-13 131131]
R2 nSvcLog;ForceWare user log service; C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe [2006-07-13 65599]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINXP\system32\nvsvc32.exe [2007-09-16 155716]
R2 SeaPort;SeaPort; C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-05-19 240512]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINXP\System32\svchost.exe [2008-04-14 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINXP\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINXP\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 fsssvc;Windows Live Family Safety-Dienst; C:\Programme\Windows Live\Family Safety\fsssvc.exe [2009-08-05 704864]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-16 182768]
S3 idsvc;Windows CardSpace; C:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 npggsvc;nProtect GameGuard Service; C:\WINXP\system32\GameMon.des [2009-06-29 3110016]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINXP\System32\TuneUpDefragService.exe [2009-04-27 306432]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINXP\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Hallo dome

Lass uns mal nach Rootkits suchen. Dazu brauchen wir gmer. Als erstes bitte folgendes tun:

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden:

Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden
Alle Netzwerk- und Internetverbindungen trennen (auch WLAN)
Beim Scan nichts am Rechner machen
Nach dem Scan den Rechner neustarten

Der Gmer Scan:

* GMER auf den Desktop herunter laden.
* Gmer ist geeignet für => NT/W2K/XP/VISTA.
* Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden
* Gmer.exe starten
* Vista-User müssen das Programm als Administrator starten
* Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft.
* Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird.

Falls sich ein Fenster mit folgender Warnung öffnet:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Gruß

Acid

Alles klar... danke für die Hilfe ich werd das mal laufen lassen und die Ergebnisse Morgen mittag hier Posten.. würde mich freuen wenn du mir dann weiter hilfst :)

Zitat:

Zitat von dome17 (Beitrag 476349)

Alles klar... danke für die Hilfe ich werd das mal laufen lassen und die Ergebnisse Morgen mittag hier Posten.. würde mich freuen wenn du mir dann weiter hilfst :)

Dafür bin ich hier. :) Mache den Scan wann du Zeit hast und poste mir dann das log. Dann sehen wir weiter.

Gruß

Acid

wollte mich kurz zu wort melden..
der log kommt morgen 100%
schaffe es heute leider nicht.. da ich für jemand einspringen muss

freu mich wenn du dir morgen zeit für mich nimmst..
bis dann :)

Hallo leider geht der Scan nicht...
es hängt sich immer wieder auf
habe es 4x probiert aber es geht nicht..
immer wieder diese hänger..

Was heisst genau "hängt sich auf"? Kannst du das bitte mal genauer beschreiben?

Gruß

Acid

Natürlich..
also das Programm hängt sich auf so das Keine Rückmeldung kommt und paar Sekunden später hängt sich der ganze PC auf.. kann aber noch die Maus bewegen aber der PC reagiert auf nichts mehr.

Sprich nur noch Neustart hilft

Also das mit "Keine Rückmeldung" kommt ab und an mal vor kurz bevor gmer fertig mit dem scan ist. Normalerweise kommt dann kurze Zeit später das log. Kann aber auch daran liegen daß gmer ziemlich direkt ins System rein geht (was es auch muss). Das macht nicht jeder Rechner mit.

Aber lass es uns zur vorsicht mal mit einem anderen Tool probieren, RootRepeal.

Einstellungen und Verhaltensweise wie beim Scan mit gmer aber natürlich ist dei Bedienung des Programms etwas anders. :)

Lade dir RootRepeal hier herunter: RootRepeal - RootRepeal - Rootkit Detector

Entpacke die Datei auf Deinen Desktop.
Doppelklicke die RootRepeal.exe, um den Scanner zu starten. Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

# Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
# Wähle C:\ und klicke wieder Ok.
# Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
# Wenn der Suchlauf beendet ist, klicke auf Save Report.
# Speichere das Logfile als RootRepeal.txt auf dem Desktop.
# Kopiere den Inhalt hier in den Thread.

nach 5 versuchen passiert genau das selbe
es hängt sich auf...
nur noch neustart hilft
er hängt sich immer bei files auf..

was soll ich jetz tun bin langsam echt ratlos :(

Hallo dome

Schon sehr suspekt das ganze. Probieren wir das mal mit Sysprot:

Rootkitsuche mit SysProt

Lade dir SysProt auf den Desktop und starte das Tool
Gehe dort auf den Reiter "Log"
Setze nun einen Haken bei:
- Kernel Modules
- Kernel Hooks
- Hidden Files
- Und unten bei "Hidden Objects Only"
Drücke nun auf "Create Log"
Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
Wenn der Scan abgeschlossen ist, beende SysProt.
Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

Gruß

Acid

guten abend,

endlich hat es mal geklappt

habe diesen log nur gefunden
hoffe das ist der richtige

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_nvata.sys
Service Name: ---
Module Base: B5DC7000
Module End: B5DE1000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS
Service Name: ---
Module Base: BADE8000
Module End: BADEA000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: D:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: D:\System Volume Information\tracking.log
Status: Access denied

Object: D:\System Volume Information\_restore{BA3EEF0E-5B44-43B8-BC0D-F24F75B08B22}
Status: Access denied

Object: C:\Dokumente und Einstellungen\dome.DOME-7705E5FC68\Eigene Dateien\ICQ\407737737\ReceivedFiles\409626065 »?????¢s???«
Status: Hidden

Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\_restore{B8F7E53B-6406-4BFD-8298-32D1497D7A5D}
Status: Access denied

Object: C:\System Volume Information\_restore{BA3EEF0E-5B44-43B8-BC0D-F24F75B08B22}
Status: Access denied

hoffe du kannst mir jetzt weiter helfen ;)

Hallo dome

Unerwünschter Gast anwesend. :)

Anleitung Avenger (by swandog46)

Lade dir das Tool File-Upload.net - Hopsassa.exe und speichere es auf dem Desktop: SCRIPT NUR MIT KOMPLETTEN PFADNAMEN

* Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

* Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

files to delete: 

C:\WINXP\system32\drivers\EagleNT.sys
 

drivers to delete: 

EagleNT

http://saved.im/mzi3ndg3nta0/aven.jpg

* Schliesse nun alle Programme undr Browse-Fenster

* Um den Avenger zu starten klicke auf -> Execute
* Dann bestätigen mit "Yes" das der Rechner neu startet

* Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

* Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Gruß

Acid

kam folgendes bei raus

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINXP\system32\drivers\EagleNT.sys" not found!
Deletion of file "C:\WINXP\system32\drivers\EagleNT.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "EagleNT" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hallo dome

Das ist doch schon mal was. :)

Probieren wirs jetzt nochmal mit

Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden:

Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden
Alle Netzwerk- und Internetverbindungen trennen (auch WLAN)
Beim Scan nichts am Rechner machen
Nach dem Scan den Rechner neustarten

Der Gmer Scan:

* GMER auf den Desktop herunter laden.
* Gmer ist geeignet für => NT/W2K/XP/VISTA.
* Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden
* Gmer.exe starten
* Vista-User müssen das Programm als Administrator starten
* Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft.
* Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird.

Falls sich ein Fenster mit folgender Warnung öffnet:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Gruß

Acid

Scan lief gut durch...
nach dem neustart fand ich den log hier

GMER 1.0.15.15163 - GMER - Rootkit Detector and Remover
Rootkit scan 2009-11-01 11:24:57
Windows 5.1.2600 Service Pack 3
Running: iphfnv0q.exe; Driver: C:\DOKUME~1\DOME~1.DOM\LOKALE~1\Temp\kxwiraow.sys

---- System - GMER 1.0.15 ----

SSDT BAEA8896 ZwCreateKey
SSDT BAEA888C ZwCreateThread
SSDT BAEA889B ZwDeleteKey
SSDT BAEA88A5 ZwDeleteValueKey
SSDT BAEA88AA ZwLoadKey
SSDT BAEA8878 ZwOpenProcess
SSDT BAEA887D ZwOpenThread
SSDT BAEA88B4 ZwReplaceKey
SSDT BAEA88AF ZwRestoreKey
SSDT BAEA88A0 ZwSetValueKey
SSDT BAEA8887 ZwTerminateProcess

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Hallo dome

Versuche jetzt bitte ob du deinen Rechner mit Malwarebytes scannen kannst (vorher updaten). Vor dem Scan alle externen Festplatten und USB-Sticks an den Rechner anschließen, Komplett Scan. Danch noch http://www.trojaner-board.de/51871-a...tispyware.html. Beide logs posten.

Gruß

Acid

geht leider beides nicht..
es hängt sich wieder auf :(

noch ne idee?

Hallo dome

Bitte deinstalliere beide Programme und lösche auch die beiden setup.exe. Danach neu runter laden aber diesmal mit rechtsklick => Ziel speichern unter => smss.exe (MBAM) und blubb.exe (SAS). Beide bitte direkt auf den Desktop laden, nicht in ein Verzeichnis. Installieren, updaten, funktionierts dann?

Gruß

Acid

geht leider auch so nicht
hängt sich immer noch auf

noch ne idee?
bin langsam am verzweifeln ^^

Hallo dome

Lasse RSIT nochmal laufen und erstelle neue logs. Beide bitte als Anhang an deine Antwort.

Gruß

Acid

hier sind die beiden logs

Hallo dome

Deinstalliere

Code:

AskToolbar

Google Toolbar

Starte dann HJT => Do a System Scan only => fixe folgende Einträge

Code:

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

Gruß

Acid

Versuche erneut ob du Scans durchführen kannst (Avira, MBAM und SAS). Versuche es gegebenenfalls auch mal im Abgesicherten Modus von Windows.

Gruß

Acid

Also es funktoniert immer noch nicht
hab es jetzt mit den 3 versucht
und auch im abgesicherten modus
klappt es leider nicht...

noch ne idee?

Probieren wir das mal mit Dr.Web. http://www.trojaner-board.de/59299-a...eb-cureit.html Führe das Programm nach Anleitung aus.

Gruß

Acid

Hallo, also es klappt auch hier nicht
der Scan bleibt immer genau bei der Hälfte hängen
aber die zeit steigt weiter und die kb geschwindigkeit wird immer weniger
und der scan geht nicht weiter, aber der pc hängt diesmal nicht

noch ne idee?

Hallo dome

Neue RSIT logs bitte.

RSIT erneut das System scannen lassen

* Schließe alle Fenster und Programme inkl. Browser.
* Lösche C:\rsit\info.txt manuell.
* Start => ausführen (bei Vista: im Feld "Suche starten")
* "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
damit die alten Logdateien von RSIT überschrieben werden.

Beide logs dann bitte posten.

Gruß

Acid

Der ungebetene Gast ist schon wieder da. Also nochmal Avenger.

Anleitung Avenger (by swandog46)

Lade dir das Tool File-Upload.net - Hopsassa.exe und speichere es auf dem Desktop: SCRIPT NUR MIT KOMPLETTEN PFADNAMEN

* Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

* Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

drivers to disable:

EagleNT
 

drivers to delete:

EagleNT
 

files to delete: 

C:\WINXP\system32\drivers\EagleNT.sys

http://saved.im/mzi3ndg3nta0/aven.jpg

* Schliesse nun alle Programme und Browser-Fenster

* Um den Avenger zu starten klicke auf -> Execute
* Dann bestätigen mit "Yes" das der Rechner neu startet

* Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

* Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Schritt 2:

Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden:

Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden
Alle Netzwerk- und Internetverbindungen trennen (auch WLAN)
Beim Scan nichts am Rechner machen
Nach dem Scan den Rechner neustarten

Der Gmer Scan:

* GMER auf den Desktop herunter laden.
* Gmer ist geeignet für => NT/W2K/XP/VISTA.
* Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden
* Gmer.exe starten
* Vista-User müssen das Programm als Administrator starten
* Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft.
* Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird.

Falls sich ein Fenster mit folgender Warnung öffnet:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Schritt 3:

Rootkitsuche mit SysProt

Lade dir SysProt auf den Desktop und starte das Tool
Gehe dort auf den Reiter "Log"
Setze nun einen Haken bei:
- Und unten bei "Hidden Objects Only"
Drücke nun auf "Create Log"
Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
Wenn der Scan abgeschlossen ist, beende SysProt.
Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

Gruß

Acid

so endlich
lief alles mal gut

alle 3 logs
nach der reihe ..

hoffe du kannst jettz weiterhelfen

Ja wir müssen jetzt nur den Drecksack finden der den EagleNT ewig nachlädt. Ich schau mir die logs morgen in Ruhe an, jetzt sitz ich gerade auf der Arbeit. ;)

Gruß

Acid

alles klar melde dich wenn du zeit hast und ihn gefunden hast :)

Hallo dome

Ich habe gerade erfahren daß dein installierter Gameguard die Probleme verursachen könnte und wahrscheinlich auch immer wieder den EagleNT nachlädt. Deinstalliere das Ding mal komplett und versuche dann mal ob MBAM funktioniert.

Gruß

Acid

welchen gameguard
weiß gerade net was du meinst.?

Es geht um diesen Dienst

Zitat:

S3 npggsvc;nProtect GameGuard Service; C:\WINXP\system32\GameMon.des [2009-06-29 3110016]

Hast du eventuell Aion installiert? Ich habe in den logs den NCSoft Louncher gesehen deswegen frage ich. Kann durchaus sein daß der Gameguard bei der Aion Instlallation mit installiert wurde.

Gruß

Acid

ja ich hab aion instaliiert
dann ist der davon
naja ich entferne den mal
danach guck ich mal ob der MBAM scan klappt

Also hab diesen gameguard entfernt..
und der scan hängt sich immer noch auf...
was nun?

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Angel war schneller :lach: :P

also
der scan hängt sich auch hier auf
bei genau 31944 gesancten dateien
bis dahin hatte er schon 19 infizierte datein gefunden...
dann hing er sich auf... bei so ner datei file/cache4/ppr0ffw3
oder sowas in der art...

noch ne idee?

Neues RSIT log bitte, bitte nur die Log.Txt erstmal.

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

also der kaspersky online scaner scheint zurzeit nicht erreichbar schon seid 3 tagen steht da *Tut uns leid! Der Kaspersky Online Scanner wird gerade überarbeitet und ist deshalb nicht verfügbar. In Kürze wird er mit vielen Detail-Verbesserungen wieder online gehen.*

aber hab nen RSIT log hochgeladen.

Wechsele in den abgesicherten Modus und lasse Malwarebytes mal per Quick Scan laufen.
Und versuche nochmal ein Gmer Durchlauf im abgesicherten Modus.

Beim Booten des PCs mit F8 in den abges. Modus wechseln.

hier bitte...
der gmer scan hatte nen rootkit gefunden soweit ich das gesehen habe.

Versuche gleichzeitig im abgesicherten Modus noch einmal den Panda Scan bitte. Results hier her. :)

auch im abgesicherten modus hängt sich der scan an der selben stelle auf

habe mir die datei mal ausgeschrieben

file\cache4\opr0ffw3

villeicht hilft das ja weiter.

Lade sie mal irgendwie bei VirusTotal - Free Online Virus and Malware Scan hoch.

dort sagt er mir das diese datei nicht gefunden werden konnte.

Hattest du in letzter Zeit eigentlich irgendwelche Hardware Probleme?

als Zwischenfrage...

Rootkitsuche mit SysProt

Lade dir SysProt auf den Desktop und starte das Tool
Gehe dort auf den Reiter "Log"
Setze nun einen Haken bei:
- Kernel Modules
- Kernel Hooks
- Hidden Files
- Und unten bei "Hidden Objects Only"
Drücke nun auf "Create Log"
Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
Wenn der Scan abgeschlossen ist, beende SysProt.
Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

nein, hatte keine hardware probleme..
hier der log.

Log scheint okeh zu sein. Gehe in den normalen Modus und versuche dort nochmal Scanner zu starten, nimm Malwarebytes zum Beispiel.

Hallo entschuldigt die späte antwort hatte viel zu tun
also ich habe jetzt viele Scans durchgeführt mit verschiedenen Anti viren Programmen leider alle ohne Erfolg...
mir ist aufgefallen das die Scans sich immer so zwischen 30.000 - 35.000 gescanten dateien aufhängen

Hast du die CPU Temperatur schonmal gecheggt?
Mache mal einen Temperaturcheck unter dem normalen Mode.

Versuche mal einen QUICKSCAN mit Malwarebytes unter Normal Mode.

hallo

also an der CPU temperatur liegt es definitiv nicht die ist vollkommen ok...

und hier der quick scan

Was hatte der PC nochmal genau für Probleme?

Haben sich diese gebessert?

Also ich weiß nicht, ob es nun an Malware liegt, wobei ich denke das du da sauber bist, aber an irgendwas sollte es liegen. Treten die Probs immer noch auf?

Start - Ausführen - eingeben:

Zitat:

chkdsk c: /f

Hallo Liebes forum.. ich wollte mich mal bedanken für eure Hilfe..
ich habe jetzt einfach mal den ganzen tag alles getestet
anti viren programme in abgesichterten modus und auch in normalen und irgendwie hab ich es geschafft ohne *aufhänger* und nun hab ich alle Viren entfernt... und jetzt Läuft alles wieder Perfekt.. ich danke für eure Vorschläge und Tipps.. hat mir echt geholfen :-)

echt gutes forum hier
*DAUMEN HOCH*

Eh, warte mal bitte.
Kannst Du bitte die Logs posten, die die Viren anzeigten?

Ich will mal drüberschauen. :)