Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC fährt sehr langsam hoch & Dienste lasse sich nicht starten, Fehler 1053 (https://www.trojaner-board.de/86899-pc-faehrt-sehr-langsam-hoch-dienste-lasse-starten-fehler-1053-a.html)

aragornlala 09.06.2010 13:24
PC fährt sehr langsam hoch & Dienste lasse sich nicht starten, Fehler 1053
 
Hallo ich bin neu hier und habe gleich ein Problem;)

Nach stundenlangen googlen nach ähnlichen Problemen schien sich keine Lösung für mein Problem zu offenbaren, auch wenn partiell manche fast haargenau meinem Problem glichen, aber eben nur fast.

Zunächst: Es handel sich um XP Proffessional SP3, relativ neuer Computer (~1 Jahr), der vor 2 Wochen einen heftigen Trojanerbefall zu bekämpfen hatte (dieser Trojaner, der ein "antivirus"-Programm installiert), aber erfolgreich siegte. Danach lief er auch wieder nahezu perfekt.
Diesen Montag mache ich ihn aus (m.E. habe ich nichts nennenswertes verändert) und fahre ihn am Abend wieder hoch: Ich sehe zunächst nur das Desktop Bild dann passiert 2 Minuten nichts. Daraufhin habe ich angefangen, Prozesse zu killen (task Manager aufrufen war mgl.) und bin schließlich über das töten eines scvhost.exe (wahrscheinlich der prekäre Punkt) in mein Betriebssystem hineingekommen. Da lief auch alle relativ normal, nur dass ich über manche Programme keinen Sound hatte und noch einige Kleinigkeiten. Nach jedem Neustart muss ich jetzt allerdings nur 2-4 min warten bis der Rechner hochgefahren ist. Und es kommen weitere Konfliktfelder dazu, die sich erst offenbarten als ich das Hochfahrproblem lösen wollte. Ich kann kann kaum mehr Dienste starten (Fehler 1053 Der Dienst antwortet nicht rechtzeitig auf die Start- oder Steuerungsanforderung.), die Wiederherstellungskonsole lässt sich mit :pukeface: nicht aktivieren etc.
Malware, antivir etc. - Alles habe ich schon sowohl im Normalen als auch im Abgesichterten Modus 3x durchlaufen lassen - Nichts wird gefunden, daher vermute ich auch, dass es irgendwie an der Registry liegt. (allerdings habe ich 1-2 Tage vorher Warnmeldungen von meinem Antivir in einem Windowsordner bekommen (immer ignorieren oder löschen habe ich gedrückt..)
Aber ich weiß nicht ob es damit zusammenhängt.

Ich bin grad in der Uni von daher werde ich heute Abend weitere Fehlermeldungen im Zusammenhang mit dem Starten von Diensten posten und wohl am besten ein hijacker Log File?

Vielen lieben Dank,

Hausdoc 09.06.2010 18:43
Hallo,
Dein Rechner ist seit 2 Wochen ununterbrochen infiziert!

Welche Meldungen waren das genau??

Arbeite erst mal diese Liste ab:

Entferne erst mal alles was irgendwie mit Internetsicherheit zu tun hat
Dann alle Toolbars.
Dann läßt du mal den
CC Cleaner
drüberlaufen. Verwaiste Einträge löschen.

Dann Malwarebytes runterladen und ausführen.


Dann nochmal eine Kontrolle mit
RSIT


Anschließend die logfiles posten.

aragornlala 09.06.2010 20:54
Danke aber CC Cleaner und Malaware habe ich im normalen sowie abgesicherten Modus schon durch.

Hier das Log File von Letzterem

RSIT Logfile:
Code:
Logfile of random's system information tool 1.07 (written by random/random)
Run by Administrator at 2010-06-09 21:50:56
WIN_XP Service Pack 3
System drive C: has 129 GB (65%) free of 200 GB
Total RAM: 3070 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:50:59, on 09.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Java\jre6\bin\javaw.exe
C:\Programme\Opera\opera.exe
C:\PROGRA~1\KOMMUN~1\ICQ7.0\ICQ.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Sophos\Sophos Anti-Rootkit\sargui.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\kfzlqf.exe
C:\Programme\Avira\AntiVir Desktop\update.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe
C:\Programme\trend micro\Administrator.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-436374069-117609710-725345543-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\Kommunikationsprogramme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\Kommunikationsprogramme\ICQ7.0\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02DC9B17-7571-4DEA-895F-0C439FA63AB0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{02DC9B17-7571-4DEA-895F-0C439FA63AB0}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\WINDOWS\system32\IoctlSvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 5039 bytes
--- --- ---

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-06-27 16875008]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2008-06-18 77824]
"AlcWzrd"=C:\WINDOWS\ALCWZRD.EXE [2008-06-19 2808832]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2008-06-19 57344]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-04-04 36272]
"Adobe ARM"=C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2010-03-24 952768]
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [2008-06-19 570664]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2010-02-03 98304]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2010-02-03 159744]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255
"NoDriveAutoRun"=67108863
"HonorAutorunSetting"=1
"NoFolderOptions"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"HonorAutorunSetting"=
"NoDriveTypeAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Opera\opera.exe"="C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser"
"C:\Programme\Streamprogramme\SopCast\adv\SopAdver.exe"="C:\Programme\Streamprogramme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\Programme\Streamprogramme\SopCast\SopCast.exe"="C:\Programme\Streamprogramme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application"
"C:\Programme\Kommunikationsprogramme\ICQ7.0\ICQ.exe"="C:\Programme\Kommunikationsprogramme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7"
"C:\Programme\Kommunikationsprogramme\ICQ7.0\aolload.exe"="C:\Programme\Kommunikationsprogramme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe"
"E:\GTA IV\Grand Theft Auto IV\LaunchGTAIV.exe"="E:\GTA IV\Grand Theft Auto IV\LaunchGTAIV.exe:*:Enabled:Grand Theft Auto IV"
"C:\Programme\Java\jre6\bin\javaw.exe"="C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\Skype\Plugin Manager\skypePM.exe"="C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager"
"E:\Company of Heroes\RelicCOH.exe"="E:\Company of Heroes\RelicCOH.exe:*:Enabled:Company of Heroes - Opposing Fronts"
"E:\Company of Heroes\RelicDownloader\RelicDownloader.exe"="E:\Company of Heroes\RelicDownloader\RelicDownloader.exe:*:Enabled:Relic Downloader"
"E:\Age of Empires 2\age2_x1\age2_x1.exe"="E:\Age of Empires 2\age2_x1\age2_x1.exe:*:Enabled:Age of Empires II Expansion"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\GIGABYTE\EnergySaver\run.exe"="C:\Programme\GIGABYTE\EnergySaver\run.exe:*:Enabled:update"
"C:\WINDOWS\system32\dplaysvr.exe"="C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\WINDOWS\explorer.exe"="C:\WINDOWS\explorer.exe:*:Enabled:Windows Shell"
"E:\TmNationsForever\TmForever.exe"="E:\TmNationsForever\TmForever.exe:*:Enabled:TmForever"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Kommunikationsprogramme\ICQ7.0\ICQ.exe"="C:\Programme\Kommunikationsprogramme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7"
"C:\Programme\Kommunikationsprogramme\ICQ7.0\aolload.exe"="C:\Programme\Kommunikationsprogramme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\explorer.exe"="C:\WINDOWS\explorer.exe:*:Enabled:Windows Shell"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
shell\AutoRun\command - pxqika.exe
shell\explore\command - pxqika.exe
shell\open\command - pxqika.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{94f78e06-3aaf-11df-bb5e-001fd08b973e}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe STEPHEN-KNSZPAU.vbs


======List of files/folders created in the last 1 months======

2010-06-09 21:50:01 ----D---- C:\rsit
2010-06-09 21:50:01 ----D---- C:\Programme\trend micro
2010-06-09 19:15:56 ----D---- C:\Programme\CCleaner
2010-06-09 00:42:27 ----N---- C:\WINDOWS\system32\1F.tmp
2010-06-09 00:42:14 ----N---- C:\WINDOWS\system32\1E.tmp
2010-06-09 00:42:05 ----D---- C:\Programme\Sophos
2010-06-09 00:36:47 ----HD---- C:\WINDOWS\system32\GroupPolicy
2010-06-08 22:16:05 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\QuickScan
2010-06-08 00:29:22 ----D---- C:\WINDOWS\system32\CatRoot_bak
2010-06-06 23:02:10 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2010-05-26 23:43:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2010-05-26 23:39:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2010-05-26 23:36:29 ----D---- C:\Programme\Last.fm
2010-05-26 22:34:58 ----D---- C:\Programme\Microsoft Visual Studio
2010-05-26 22:34:56 ----D---- C:\Programme\Gemeinsame Dateien\DESIGNER
2010-05-26 22:28:49 ----D---- C:\WINDOWS\SHELLNEW
2010-05-26 21:09:15 ----D---- C:\Programme\MSECache
2010-05-25 15:37:25 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-05-25 15:36:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-25 15:36:40 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-05-25 15:29:31 ----D---- C:\WINDOWS\CSC
2010-05-24 23:29:40 ----D---- C:\WINDOWS\Sun
2010-05-16 22:42:15 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\xprojflatex-Trader

======List of files/folders modified in the last 1 months======

2010-06-09 21:50:01 ----RD---- C:\Programme
2010-06-09 21:42:19 ----D---- C:\WINDOWS\system32
2010-06-09 21:40:05 ----D---- C:\Programme\Online-Dienste
2010-06-09 21:33:45 ----D---- C:\WINDOWS\Temp
2010-06-09 21:33:45 ----D---- C:\WINDOWS
2010-06-09 20:45:17 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2010-06-09 20:24:39 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2010-06-09 19:30:27 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2010-06-09 19:25:37 ----D---- C:\WINDOWS\system32\LogFiles
2010-06-09 19:25:37 ----D---- C:\WINDOWS\Debug
2010-06-09 19:07:11 ----D---- C:\WINDOWS\system32\CatRoot2
2010-06-09 00:57:37 ----D---- C:\Programme\Voobly
2010-06-09 00:54:45 ----SHD---- C:\WINDOWS\Installer
2010-06-09 00:54:35 ----D---- C:\WINDOWS\system32\drivers
2010-06-08 23:33:43 ----A---- C:\WINDOWS\NeroDigital.ini
2010-06-08 23:11:47 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2010-06-08 00:39:21 ----HD---- C:\WINDOWS\inf
2010-06-07 11:38:43 ----D---- C:\WINDOWS\Prefetch
2010-06-06 20:47:23 ----D---- C:\Programme\MyMDb
2010-05-27 16:54:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-05-26 23:39:18 ----D---- C:\Programme\Windows Media Player
2010-05-26 23:21:52 ----RSD---- C:\WINDOWS\assembly
2010-05-26 23:21:42 ----D---- C:\WINDOWS\system32\DirectX
2010-05-26 23:12:00 ----D---- C:\WINDOWS\pchealth
2010-05-26 22:35:32 ----D---- C:\Programme\Microsoft Works
2010-05-26 22:35:19 ----D---- C:\WINDOWS\WinSxS
2010-05-26 22:34:56 ----D---- C:\Programme\Gemeinsame Dateien
2010-05-26 22:34:43 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-05-26 22:34:41 ----RSD---- C:\WINDOWS\Fonts
2010-05-26 22:29:17 ----A---- C:\WINDOWS\win.ini
2010-05-26 22:29:15 ----D---- C:\Programme\Gemeinsame Dateien\System
2010-05-26 21:36:33 ----SD---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
2010-05-25 18:06:03 ----D---- C:\WINDOWS\java
2010-05-25 15:53:22 ----SD---- C:\WINDOWS\Tasks
2010-05-25 08:38:22 ----SHD---- C:\System Volume Information
2010-05-25 08:38:22 ----D---- C:\WINDOWS\system32\Restore
2010-05-24 23:37:19 ----RSHDC---- C:\WINDOWS\system32\dllcache

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2010-02-03 4605952]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-06-27 4742656]
R3 MEMSWEEP2;MEMSWEEP2; \??\C:\WINDOWS\system32\1C.tmp []
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2006-06-01 12288]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-06-16 109184]
R3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
S3 dot4;MS IEEE-1284.4-Treiber; C:\WINDOWS\system32\DRIVERS\Dot4.sys [2008-04-14 206976]
S3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4Prt.sys [2001-08-17 12928]
S3 dot4usb;Dot4USB-Filter Dot4USB Filter; C:\WINDOWS\system32\DRIVERS\dot4usb.sys [2001-08-18 23936]
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2010-02-03 26176]
S3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2010-02-03 602112]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2010-03-01 153376]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe [2008-06-08 877864]
S2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\WINDOWS\system32\IoctlSvc.exe []
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe [2008-06-24 537896]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2008-10-24 145248]
S3 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe [2005-08-24 118272]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-05-10 829440]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
--- --- ---

aragornlala 09.06.2010 22:57
Ich weiß echt nicht mehr was ich machen soll... Alles 10x durchlaufen lassen in aktualisierter Form: Malaware, Stinger, Hijacker, Antivir, Rootkit... etc:( Ich will nicht schon wieder neuinstallieren. Der Sound ist teilweise auch nicht aktiviert: In der Systemsteueuerung kann man die Geräte nicht ansteuern und einzig und allein LastFm und Winamp spielen Sound ab, alles andere, Spiele oder Dinge im Webbrowser (youtube) bleibt tonlos. Da muss doch irgendwas schwerwiegendes in der Registry ausgeschaltet sein.

Hausdoc 10.06.2010 10:10
Wieso schon wieder neu installieren??? Wie oft musst du das tun??
Öfter als 1 x im 3 Jahren?? Dann solltest du dein Sicherheitskonzept überdenken.
Arbeitest du mit Administratorrechten?????
"Saugst" du irgend wo ???

Auf deinem System ist nach wie vor ein Backdoor aktiv.

Eine nachfolgende Reparatur dauert in etwa genau so lange wie eine Neuinstallation.
Nachdem man auch nach einer Reparatur nie 100% sicher sein kann empfehle ich hier eine Neuinstallation.
Zur Datensicherung: Keinerlei . exe + .dll Dateien sichern.
Andere zudem auch - vorsorglich - all deine Passwörter ( ebay, mail, onlinbanking..) von einem anderen , sauberen System aus.

Hängt dieser Rechner an einem heimischen Netzwerk???? Dann sollte alle anderen Rechner auch mit Argusaugen überprüft werden- auch wenn sie derzeit keine Symptome zeigen und keine Meldungen ausgegeben werden.

aragornlala 10.06.2010 13:09
Normalerweise 1x 1,5 Jahren, aber de letzte Neuinstallation ist gerade mal knapp 2 Monate her.

Wie kann ich den "Backdoor" aufspüren?
Antivir, Malaware, Stinger, CCleaner und Sophos Rootkit scheinen bei der Aufspürung zu versagen.

Ich bin Administrator und ziehe ganz selten mal was über Rapidshare (Auch keine exe Datein)

Es reicht ja schon, wenn man 1x Antivir und UpnP aktiviert hat, sich etwas böses einzufangen. Daher sollte ich da eher konsequenter werden.

Eine Neuinstallation würde 1 - 2 Tage in Anspruch nehmen. Ich benutze den PC fast permanent und die Datensicherung auch im Detail (Lesezeichen, Tabs, ganze Formatierungen...) nehmen 10 - 15 Stunden in Anspruch.

Daher bin ich an einer Lösung des Problems zunächst ohne der "Exit-Strategie" mit Neuinstallation interessiert. Kann aus dem Log-File etwas herausgelesen werden? Was kann ich noch machen?

Hausdoc 10.06.2010 15:54
Nachdem du zwar auf der einen Seite glaubst durch viel Schutzsoftware auch viel Schutz zu haben , auf der anderen Seite aber durch Adminrechte jedem Schädling gestattest, sich breit machen zu dürfen, wirst du immer wieder Malwarebefalle haben. Das Saugen verbessert diese Situatuon nicht wirklich.
Daß du die Datensicherung so vernachlässigst dürfte nicht dem Schädling auch nichtanzulasten sein.
Daß div Software keine Meldung ausgibt, liegt an der Tatsache daß Sie sich auf dem Selben System befindet wie der Schädling. Somit ist eine Manipulation nicht auszuschließen.

Fazit: Eine Datensicherung brauchst du so und so.
Eine nachfolgende Reparatur dauert mindestens so lange wie die Neuinstallation.
Eine Neuinstallation ist dafür aber sicher.

Zum allgemeinen besseren Verständnis solltest du dir das hier verinnerlichen.

aragornlala 10.06.2010 21:23
Zitat:
Daß du die Datensicherung so vernachlässigst dürfte nicht dem Schädling auch nichtanzulasten sein.
Doch der Schädling macht die Datensicherung ja erst notwendig.

Und wenn man weiter geht, macht die schlecht konstruierte Festplatte die Datensicherung notwendig nicht der Benutzer.

Wenn man nach deiner Logik geht, müsste eine alte Dame hier in Deutschland die in die Stadt geht und in ihrer Handtasche einen 50 Euro Schein hat, immer eine Pistole oder ein Messer zur Verteidigung dabei haben, um nicht selber Schuld an einen Überfall und dem Diebstahl ihrer Handtasche zu sein. (Sie hat es ja offenichtlich dann vorgezogen, ohne Selbstschutz in die Stadt zu gehen. Um das weiter mit dem bösen gefährlichen Internet gleichzusetzen könnte man dieses Beispiel beliebig steigern und die alte Dame schließlich nachts durch Cape Town in Südafrika laufen lassen..


Ich interessiere mich dennoch für die Reparatur. Was muss ich tun?

Hausdoc 10.06.2010 21:32
Zitat:
Ich interessiere mich dennoch für die Reparatur. Was muss ich tun?
In jedem Fall eine Datensicherung machen.

Gmer runterladen und ausführen

Ich wiederhole mich: Ich hatte zur Neuinstallation geraten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131