Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Svchost.exe erzeugt 80% Last (https://www.trojaner-board.de/76704-svchost-exe-erzeugt-80-last.html)

Torqus 23.08.2009 22:28
Svchost.exe erzeugt 80% Last
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo Comunity !
habe kürzlich bemerkt das mein System viel zu hoch ausgelastet ist, zwischen 70-80%.

Okay also hab ich mit dem ProcessExplorer nachgeschaut und die 'Svchost.exe' als schuldigen ausfindig gemacht.
Hier im Board gelesen und erfahren das die 'Svchost.exe' nur ein Programm zum starten von einem/mehrerer Services ist, also habe ich geschaut welche Services diese 'Svchost.exe' beinhaltet.
Nun habe ich durch abschalten versucht die Processorlast wieder auf normalzustand zu bringen, aber keinen Erfolg gehabt.

Zwei Threads innerhalb der 'Svchost.exe' sind wohl für die Last verantwortlich nur weiss ich nicht wozu die Threads genau gehören.

Ein Scan nach Malware und Rootkit brachte keine negativen Ergebnisse.

Jetzt brauch ich Eure hilfe.


Hier noch ein paar Informationen/Logfiles

Gmer-Log
Code:
GMER 1.0.15.15077 [58vqnlsz.exe] - http://www.gmer.net
Rootkit scan 2009-08-23 16:14:45
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT  BA77A2D6                                                                                                                              ZwCreateKey
SSDT  BA77A2CC                                                                                                                              ZwCreateThread
SSDT  BA77A2DB                                                                                                                              ZwDeleteKey
SSDT  BA77A2E5                                                                                                                              ZwDeleteValueKey
SSDT  BA77A2EA                                                                                                                              ZwLoadKey
SSDT  BA77A2B8                                                                                                                              ZwOpenProcess
SSDT  BA77A2BD                                                                                                                              ZwOpenThread
SSDT  BA77A2F4                                                                                                                              ZwReplaceKey
SSDT  BA77A2EF                                                                                                                              ZwRestoreKey
SSDT  BA77A2E0                                                                                                                              ZwSetValueKey
SSDT  BA77A2C7                                                                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!ZwCallbackReturn + 2D4C                                                                                                  805045E8 4 Bytes  JMP B8BA77A2 \SystemRoot\system32\DRIVERS\nv4_mini.sys (NVIDIA Compatible Windows 2000 Miniport Driver, Version 181.22 /NVIDIA Corporation)
?      C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                                            Das System kann die angegebene Datei nicht finden. !

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                 
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                      C:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                      0
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                    0xA2 0x65 0x9B 0x93 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                       
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                              0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                          0x12 0x20 0xB7 0xD2 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                 
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                    0xD4 0x05 0x9F 0x3A ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                     
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                  C:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                  0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                0xA2 0x65 0x9B 0x93 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                           
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                          0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                      0x12 0x20 0xB7 0xD2 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                     
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                0x4A 0x98 0xEC 0x2F ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                 
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                      C:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                      0
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                    0xA2 0x65 0x9B 0x93 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                       
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                              0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                          0x12 0x20 0xB7 0xD2 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                 
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                    0xD4 0x05 0x9F 0x3A ...
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                 
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                      C:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                      0
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                    0xA2 0x65 0x9B 0x93 ...
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                       
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                              0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                          0x12 0x20 0xB7 0xD2 ...
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                 
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                    0x4A 0x98 0xEC 0x2F ...
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{74341D87-CDB1-ED8C-A106-198F1686DF75}                     
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{74341D87-CDB1-ED8C-A106-198F1686DF75}@hablomlopjjgfglf      0x67 0x61 0x69 0x6A ...
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{74341D87-CDB1-ED8C-A106-198F1686DF75}@iafmkaclokcibcdifp    0x62 0x61 0x6C 0x6A ...
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB198137-2905-45A1-65FC-D5F17629F2D3}                     
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB198137-2905-45A1-65FC-D5F17629F2D3}@jaapebpldfgealjkcpdo  0x6B 0x61 0x68 0x6B ...
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB198137-2905-45A1-65FC-D5F17629F2D3}@iaknmeajblkejkelnl    0x6B 0x61 0x68 0x6B ...

---- EOF - GMER 1.0.15 ----
Leider sind die Rsit Logdateien zu gross für die Code-Tags

Ich hoffe mir kann geholfen werden

cu

undoreal 24.08.2009 00:11
Lass' den PC mal eine Weile so laufen.
Evtl. läuft da grade kein Windows Update...

Torqus 24.08.2009 08:08
Hallo Undoreal,
ich bin mir sehr sicher das da kein Windows Update läuft.

1. Laut Aussage vom Windows Updatecenter: Es stehen keine wichtigen Updates für Ihren Computer zur Verfügung.

2. Im Task-Manager ist keinerlei Datenbewegung zu sehen.

3. Selbst nach drei, vier oder auch fünf Stunden liegt die last bei 70-80%

Ich kann mich auch irren deshalb hier noch Netstat ausgaben.

Code:
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\***>netstat

Aktive Verbindungen

  Proto  Lokale Adresse        Remoteadresse          Status
  TCP    G******:1034          localhost:27015        HERGESTELLT
  TCP    G******:5152          localhost:1082        SCHLIESSEN_WARTEN
  TCP    G******:27015          localhost:1034        HERGESTELLT
  TCP    G******:1107          207.46.198.249:http    WARTEND


C:\Dokumente und Einstellungen\***>netstat -b

Aktive Verbindungen

  Proto  Lokale Adresse        Remoteadresse          Status          PID
  TCP    G******:1034          localhost:27015        HERGESTELLT    2924
  [iTunesHelper.exe]

  TCP    G******:27015          localhost:1034        HERGESTELLT    1892
  [AppleMobileDeviceService.exe]

  TCP    G******:5152          localhost:1082        SCHLIESSEN_WARTEN    1956

  [jqs.exe]


C:\Dokumente und Einstellungen\***>netstat -a

Aktive Verbindungen

  Proto  Lokale Adresse        Remoteadresse          Status
  TCP    G******:epmap          G******.net:0          ABHÖREN
  TCP    G******:microsoft-ds  G******.net:0          ABHÖREN
  TCP    G******:2869          G******.net:0          ABHÖREN
  TCP    G******:1026          G******.net:0          ABHÖREN
  TCP    G******:1034          localhost:27015        HERGESTELLT
  TCP    G******:5152          G******.net:0          ABHÖREN
  TCP    G******:5152          localhost:1082        SCHLIESSEN_WARTEN
  TCP    G******:5354          G******.net:0          ABHÖREN
  TCP    G******:27015          G******.net:0          ABHÖREN
  TCP    G******:27015          localhost:1034        HERGESTELLT
  TCP    G******:netbios-ssn    G******.net:0          ABHÖREN
  UDP    G******:microsoft-ds  *:*
  UDP    G******:isakmp        *:*
  UDP    G******:1025          *:*
  UDP    G******:4500          *:*
  UDP    G******:64816          *:*
  UDP    G******:ntp            *:*
  UDP    G******:1035          *:*
  UDP    G******:1040          *:*
  UDP    G******:1042          *:*
  UDP    G******:1052          *:*
  UDP    G******:1083          *:*
  UDP    G******:1900          *:*
  UDP    G******:ntp            *:*
  UDP    G******:netbios-ns    *:*
  UDP    G******:netbios-dgm    *:*
  UDP    G******:1900          *:*
  UDP    G******:5353          *:*

------------- EOF ---------------
Ich habe die vermutung das 'Svchost.exe' bzw. ein Service zwei Threads starten will und den start nicht abschliessen kann (siehe Bildschirmfoto aus erstem Beitrag)
denn die Threads sind so auch nach Stunden noch da mit ständig wechselnder Last um 40% je Thread.

Aber danke für die Antwort.
cu Torsten

undoreal 24.08.2009 09:40
Mache bitte mit Spybot alle Immunisierungen rückgängig die das Prog durchgeführt hat.
Deinstalliere das Programm danach mit dem RevoUninstaller im erweiterten Modus.
Räume danach mit dem cCleaner auf.

Du saugst über P2P. Da muss man sich nicht wunder wenn man sich was einfängt.

Was für ein Laufwerk hat bei dir den bucjstaben I ?


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
I:\setup.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Torqus 25.08.2009 10:42
Hallo,

Zitat:
Du saugst über P2P. Da muss man sich nicht wunder wenn man sich was einfängt.
Hatte ich mal ist aber schon länger als ein dreiviertel Jahr her das ich P2P das letzte mal benutzt habe!
Habe mich auch gleich vom 'Esel und Frosch' verabschiedet!

Zitat:
Mache bitte mit Spybot alle Immunisierungen rückgängig die das Prog durchgeführt hat.
Deinstalliere das Programm danach mit dem RevoUninstaller im erweiterten Modus.
Räume danach mit dem cCleaner auf.
cu Torsten
Habe ich getan.
Frage: Sollte man Spybot grundsetzlich nicht benutzen?

Zitat:
Was für ein Laufwerk hat bei dir den bucjstaben I ?
Mein DVD-Ram Laufwerk hat den buchstaben I.
Die CD/DVD mit der setup.exe liegt nicht mehr im Laufwerk so das ich nicht weiss auf welcher diese zu finden ist um sie Prüfen zu lassen. :(

undoreal 25.08.2009 12:06
Zitat:
Sollte man Spybot grundsetzlich nicht benutzen?
Genau. Das Prog taugt nicht viel und stellt ne Menge Blödsinn an.

Zitat:
Mein DVD-Ram Laufwerk hat den buchstaben I.
O.k. dachte ich mir schon.

Also ich kann nichts verdächtigess erkennen.

Problem unverändert?

Torqus 26.08.2009 09:07
Moin,

ja Problem unverändert.

Habe festgestellt das ich im Explorer aus der Netzwerkumgebung NICHT auf meine 'Netzwerkverbindungen anzeigen' zugreifen kann,
der Explorer friert ein und tut nix mehr, ob es da nen zusammenhang gibt ...?

cu Torsten

undoreal 26.08.2009 09:28
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
    Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter BlaBlub.exe abspeichern!
    Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


GMER - Rootkit Detection
  • Lade Gmer von hier
  • entpacke es auf den Dektop
  • Doppelklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.


Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Torqus 26.08.2009 23:20
Hallo,

habe Combofix durchlaufen lassen. Combofix hat den PC runtergefahren (warscheinlich wegen der Installation der Wiederherstellungskonsole),
doch bevor das Logfile geschrieben werden konnte blieb Combofix hängen.

Also hab ich Combofix nochmal gestartet und diesmal ist der PC nicht runtergefahren, aber combofix blieb wieder hängen.
Ich habe mit dem Processexplorer geschaut und festgestellt das sich ipconfig von Combofix gestartet, nicht beendet hat,
also habe ich den Process gekillt. Combofix konnte seine Arbeit beenden und das Log schreiben.

Gmer-Log

Code:
GMER 1.0.15.15077 [58vqnlsz.exe] - http://w*w.gmer.net
Rootkit scan 2009-08-26 23:36:37
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT  BA797B0E                                                                                                                              ZwCreateKey
SSDT  BA797B04                                                                                                                              ZwCreateThread
SSDT  BA797B13                                                                                                                              ZwDeleteKey
SSDT  BA797B1D                                                                                                                              ZwDeleteValueKey
SSDT  BA797B22                                                                                                                              ZwLoadKey
SSDT  BA797AF0                                                                                                                              ZwOpenProcess
SSDT  BA797AF5                                                                                                                              ZwOpenThread
SSDT  BA797B2C                                                                                                                              ZwReplaceKey
SSDT  BA797B27                                                                                                                              ZwRestoreKey
SSDT  BA797B18                                                                                                                              ZwSetValueKey
SSDT  BA797AFF                                                                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?    C:\DOKUME~1\T********\LOKALE~1\Temp\mbr.sys                                                                                            Das System kann die angegebene Datei nicht finden. !

---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                 
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                      C:\Programme\DAEMON Tools\
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                      0
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                    0xA2 0x65 0x9B 0x93 ...
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                       
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                              0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                          0x12 0x20 0xB7 0xD2 ...
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                 
Reg  HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                    0xD4 0x05 0x9F 0x3A ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                     
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                  C:\Programme\DAEMON Tools\
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                  0
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                0xA2 0x65 0x9B 0x93 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                           
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                          0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                      0x12 0x20 0xB7 0xD2 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                     
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                0x4A 0x98 0xEC 0x2F ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                 
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                      C:\Programme\DAEMON Tools\
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                      0
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                    0xA2 0x65 0x9B 0x93 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                       
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                              0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                          0x12 0x20 0xB7 0xD2 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                 
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                    0xD4 0x05 0x9F 0x3A ...
Reg  HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                 
Reg  HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                      C:\Programme\DAEMON Tools\
Reg  HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                      0
Reg  HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                    0xA2 0x65 0x9B 0x93 ...
Reg  HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                       
Reg  HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                              0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                          0x12 0x20 0xB7 0xD2 ...
Reg  HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                 
Reg  HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                    0x4A 0x98 0xEC 0x2F ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{74341D87-CDB1-ED8C-A106-198F1686DF75}                     
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{74341D87-CDB1-ED8C-A106-198F1686DF75}@hablomlopjjgfglf      0x67 0x61 0x69 0x6A ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{74341D87-CDB1-ED8C-A106-198F1686DF75}@iafmkaclokcibcdifp    0x62 0x61 0x6C 0x6A ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB198137-2905-45A1-65FC-D5F17629F2D3}                     
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB198137-2905-45A1-65FC-D5F17629F2D3}@jaapebpldfgealjkcpdo  0x6B 0x61 0x68 0x6B ...
Reg  HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB198137-2905-45A1-65FC-D5F17629F2D3}@iaknmeajblkejkelnl    0x6B 0x61 0x68 0x6B ...

---- EOF - GMER 1.0.15 ----

MBR-Log

Code:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://w*w.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
ComboFix-Log als Anhang

cu Torsten

undoreal 27.08.2009 14:42

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
c:\windows\system32\config\systemprofile\IETldCache
c:\windows\system32\telnet.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Überprüfe den Rechner mit SuperAntiSpyware und Anti-Malware und poste das log.

Torqus 28.08.2009 21:34
Hi,
habe alles abgearbeitet!

SuperAntiSpyware.Log

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/28/2009 at 01:56 AM

Application Version : 4.27.1002                       

Core Rules Database Version : 4073
Trace Rules Database Version: 2013

Scan type      : Complete Scan
Total Scan Time : 01:46:26

Memory items scanned      : 550
Memory threats detected  : 0
Registry items scanned    : 6179
Registry threats detected : 0
File items scanned        : 266782
File threats detected    : 62

*** \Dokumente und Einstellungen\ ersetzt durch: DuE ***

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\T***\Cookies\T***@atdmt[3].txt
        C:\DuE\T***\Cookies\T***@creatives.commindo-media[1].txt
        C:\DuE\T***\Cookies\T***@doubleclick[3].txt
        C:\DuE\J***\Cookies\J***@doubleclick[1].txt
        C:\DuE\J***\Cookies\J***@ad.yieldmanager[2].txt
        C:\DuE\J***\Cookies\J***@sevenoneintermedia.112.2o7[1].txt
        C:\DuE\J***\Cookies\J***@overture[1].txt
        C:\DuE\J***\Cookies\J***@atdmt[2].txt
        C:\DuE\J***\Cookies\J***@adtech[1].txt
        C:\DuE\J***\Cookies\J***@adopt.euroclick[1].txt
        C:\DuE\J***\Cookies\J***@atwola[1].txt
        C:\DuE\J***\Cookies\J***@2o7[2].txt
        C:\DuE\J***\Cookies\J***@bs.serving-sys[1].txt
        C:\DuE\J***\Cookies\J***@casalemedia[2].txt
        C:\DuE\J***\Cookies\J***@data.coremetrics[1].txt
        C:\DuE\J***\Cookies\J***@ad.zanox[1].txt
        C:\DuE\J***\Cookies\J***@serving-sys[1].txt
        C:\DuE\J***\Cookies\J***@tradedoubler[1].txt
        C:\DuE\J***\Cookies\J***@adserver.71i[1].txt
        C:\DuE\J***.G***\Cookies\J***@ad.adition[1].txt
        C:\DuE\J***.G***\Cookies\J***@statse.webtrendslive[2].txt
        C:\DuE\J***.G***\Cookies\J***@ad.adnet[1].txt
        C:\DuE\J***.G***\Cookies\J***@ad.beepworld[2].txt
        C:\DuE\J***.G***\Cookies\J***@ads.heias[1].txt
        C:\DuE\J***.G***\Cookies\J***@sevenoneintermedia.112.2o7[1].txt
        C:\DuE\J***.G***\Cookies\J***@adserver.easyad[1].txt
        C:\DuE\J***.G***\Cookies\J***@traffic.mpnrs[2].txt
        C:\DuE\J***.G***\Cookies\J***@bfast[1].txt
        C:\DuE\J***.G***\Cookies\J***@3.adbrite[1].txt
        C:\DuE\J***.G***\Cookies\J***@ads.moviemaze[2].txt
        C:\DuE\J***.G***\Cookies\J***@eas.apm.emediate[1].txt
        C:\DuE\J***.G***\Cookies\J***@weborama[2].txt
        C:\DuE\J***.G***\Cookies\J***@burstnet[1].txt
        C:\DuE\J***.G***\Cookies\J***@komtrack[2].txt
        C:\DuE\J***.G***\Cookies\J***@adbrite[1].txt
        C:\DuE\J***.G***\Cookies\J***@apmebf[2].txt
        C:\DuE\J***.G***\Cookies\J***@bluestreak[1].txt
        C:\DuE\J***.G***\Cookies\J***@casalemedia[1].txt
        C:\DuE\J***.G***\Cookies\J***@adopt.euroclick[1].txt
        C:\DuE\J***.G***\Cookies\J***@mediaplex[1].txt
        C:\DuE\J***.G***\Cookies\J***@a2.adserver01[2].txt
        C:\DuE\J***.G***\Cookies\J***@www.etracker[1].txt
        C:\DuE\J***.G***\Cookies\J***@www5.addfreestats[1].txt
        C:\DuE\J***.G***\Cookies\J***@ads.adbrite[1].txt
        C:\DuE\J***.G***\Cookies\J***@track.webtrekk[1].txt
        C:\DuE\J***.G***\Cookies\J***@de2.komtrack[2].txt
        C:\DuE\J***.G***\Cookies\J***@ad.zanox[1].txt
        C:\DuE\J***.G***\Cookies\J***@adserver.3digit[1].txt
        C:\DuE\J***.G***\Cookies\J***@fastclick[2].txt
        C:\DuE\J***.G***\Cookies\J***@tribalfusion[1].txt
        C:\DuE\J***.G***\Cookies\J***@www.burstnet[2].txt
        C:\DuE\J***.G***\Cookies\J***@roitracking[1].txt
        C:\DuE\J***.G***\Cookies\J***@qksrv[2].txt
        C:\DuE\J***.G***\Cookies\J***@www.googleadservices[1].txt
        C:\DuE\J***.G***\Cookies\J***@partners.webmasterplan[2].txt
        C:\DuE\J***.G***\Cookies\J***@tacoda[2].txt
        C:\DuE\J***.G***\Cookies\J***@www.zanox-affiliate[2].txt
        C:\DuE\J***.G***\Cookies\J***@adserver.myvideo[1].txt
        C:\DuE\J***.G***\Cookies\J***@advertising[1].txt
        C:\DuE\J***.G***\Cookies\J***@ads.addynamix[1].txt
        C:\DuE\J***.G***\Cookies\J***@adfarm1.adition[1].txt
        C:\DuE\J***.G***\Cookies\J***@tradedoubler[1].txt

Virustotal.log

Code:
******************  index.dat    ******************************

Datei index.dat empfangen 2009.08.27 21:17:58 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
 Filter Drucken der Ergebnisse 
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
 Email: 
 

Antivirus        Version        letzte aktualisierung        Ergebnis
 
a-squared        4.5.0.24        2009.08.27                -
AhnLab-V3        5.0.0.2        2009.08.27                -
AntiVir        7.9.1.7        2009.08.27                -
Antiy-AVL        2.0.3.7        2009.08.24                -
Authentium        5.1.2.4        2009.08.27                -
Avast                4.8.1335.0        2009.08.26                -
AVG                8.5.0.406        2009.08.27                -
BitDefender        7.2                2009.08.27                -
CAT-QuickHeal        10.00                2009.08.27                -
ClamAV                0.94.1                2009.08.27                -
Comodo                2114                2009.08.27                -
DrWeb                5.0.0.12182        2009.08.27                -
eSafe                7.0.17.0        2009.08.27                -
eTrust-Vet        31.6.6705        2009.08.27                -
F-Prot                4.5.1.85        2009.08.27                -
F-Secure        8.0.14470.0        2009.08.27                -
Fortinet        3.120.0.0        2009.08.27                -
GData                19                2009.08.27                -
Ikarus                T3.1.1.68.0        2009.08.27                -
Jiangmin        11.0.800        2009.08.27                -
K7AntiVirus        7.10.829        2009.08.27                -
Kaspersky        7.0.0.125        2009.08.27                -
McAfee                5722                2009.08.27                -
McAfee+Artemis        5722                2009.08.27                -
McAfee-GW-Edition 6.8.5        2009.08.27                -
Microsoft        1.4903                2009.08.27                -
NOD32                4374                2009.08.27                -
Norman                          2009.08.27                -
nProtect        2009.1.8.0        2009.08.27                -
Panda                10.0.2.2        2009.08.27                -
PCTools        4.4.2.0        2009.08.27                -
Prevx                3.0                2009.08.27                -
Rising                21.44.11.00        2009.08.25                -
Sophos                4.45.0                2009.08.27                -
Sunbelt        3.2.1858.2        2009.08.27                -
Symantec        1.4.4.12        2009.08.27                -
TheHacker        6.3.4.3.388        2009.08.25                -
TrendMicro        8.950.0.1094        2009.08.27                -
VBA32                3.12.10.10        2009.08.27                -
ViRobot        2009.8.27.1905        2009.08.27                -
VirusBuster        4.6.5.0        2009.08.27                -

weitere Informationen

File size: 16384 bytes
MD5...: d7a950fefd60dbaa01df2d85fefb3862
SHA1..: 15740b197555ba8e162c37a60ba655151e3bebae
SHA256: 75d0b1743f61b76a35b1fedd32378837805de58d79fa950cb6e8164bfa72073a
ssdeep: 3:qRFiJ2totWIlXllll:qjyx
 
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
trid..: Microsoft Internet Explorer cache (94.9%)
HSC music composer song (5.0%)
pdfid.: -




****************    telnet.exe  *****************

Datei telnet.exe empfangen 2009.08.27 21:34:11 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
 Filter Drucken der Ergebnisse 
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
 Email: 
 

Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.24        2009.08.27                -
AhnLab-V3        5.0.0.2        2009.08.27                -
AntiVir        7.9.1.7        2009.08.27                -
Antiy-AVL        2.0.3.7        2009.08.24                -
Authentium        5.1.2.4        2009.08.27                -
Avast                4.8.1335.0        2009.08.26                -
AVG                8.5.0.406        2009.08.27                -
BitDefender        7.2                2009.08.27                -
CAT-QuickHeal        10.00                2009.08.27                -
ClamAV                0.94.1                2009.08.27                -
DrWeb                5.0.0.12182        2009.08.27                -
eSafe                7.0.17.0        2009.08.27                -
eTrust-Vet        31.6.6705        2009.08.27                -
F-Prot                4.5.1.85        2009.08.27                -
F-Secure        8.0.14470.0        2009.08.27                -
Fortinet        3.120.0.0        2009.08.27                -
GData                19                2009.08.27                -
Ikarus                T3.1.1.68.0        2009.08.27                -
Jiangmin        11.0.800        2009.08.27                -
K7AntiVirus        7.10.829        2009.08.27                -
Kaspersky        7.0.0.125        2009.08.27                -
McAfee                5722                2009.08.27                -
McAfee+Artemis        5722                2009.08.27                -
McAfee-GW-Edition 6.8.5        2009.08.27                -
Microsoft        1.4903                2009.08.27                -
NOD32                4374                2009.08.27                -
Norman                          2009.08.27                -
nProtect        2009.1.8.0        2009.08.27                -
Panda                10.0.2.2        2009.08.27                -
PCTools        4.4.2.0        2009.08.27                -
Prevx                3.0                2009.08.27                -
Rising                21.44.11.00        2009.08.25                -
Sophos                4.45.0                2009.08.27                -
Sunbelt        3.2.1858.2        2009.08.27                -
Symantec        1.4.4.12        2009.08.27                -
TheHacker        6.3.4.3.388        2009.08.25                -
TrendMicro        8.950.0.1094        2009.08.27                -
VBA32                3.12.10.10        2009.08.27                -
ViRobot        2009.8.27.1905        2009.08.27                -
VirusBuster        4.6.5.0        2009.08.27                -

weitere Informationen

File size: 78848 bytes
MD5...: 3e65ce2f7e864415ed6cf8926aa9a904
SHA1..: 9b4694279619f4bebeaac176a0fa7c4d76069cb5
SHA256: acd9b5ce56cb606ff1fded83faa912b7a1e81945f4aca19cc40a3c8ea4925887
ssdeep: 1536:8fQbLDbiGP7XppGEOmjW7Q+Hq0HkANjBiL/GDsjgikNsDDFxaYMa:Z3biGP
tpG8jWNHfXhNNUDFxara
 
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xcef0
timedatestamp.....: 0x4a324aaa (Fri Jun 12 12:31:38 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd2e6 0xd400 6.41 66dfe485e2f64e5b1bcae29c7e13c1be
.data 0xf000 0x1cb9c 0x1800 3.68 214bb6896f69c53b55607a4abeec204b
.rsrc 0x2c000 0x429c 0x4400 3.77 70e9985b4f6c19b600525641745ed32d

( 9 imports )
> msvcrt.dll: _wcslwr, towlower, setlocale, _c_exit, _exit, _XcptFilter, wcsstr, __winitenv, __wgetmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, isalpha, tolower, exit, atoi, towupper, toupper, _strnicmp, strncmp, wcstok, _wcsnicmp, _wtoi, _snprintf, wcsncat, wcscat, wcscpy, calloc, strncpy, strtoul, strchr, sprintf, memchr, _cexit, __set_app_type, _except_handler3, _controlfp, wcscmp, wcsncpy, iswctype, _wcsicmp, _snwprintf, wcslen, _vsnwprintf, malloc, free
> ADVAPI32.dll: RegSetValueExW, RegOpenKeyExW, RegQueryValueExA, RegCloseKey, RegCreateKeyExW, RegQueryValueExW, OpenProcessToken, GetTokenInformation, LookupAccountSidW, GetUserNameW
> KERNEL32.dll: GetStdHandle, CreateThread, ExitProcess, GetConsoleOutputCP, GetModuleHandleW, SetLastError, GetSystemDefaultLangID, SetConsoleCtrlHandler, CreateEventW, CreateConsoleScreenBuffer, PulseEvent, GetConsoleMode, SetUnhandledExceptionFilter, ReadConsoleInputW, ReadConsoleInputA, MultiByteToWideChar, GetConsoleCursorInfo, QueryPerformanceCounter, GetFileType, IsDBCSLeadByte, WriteConsoleOutputCharacterA, WriteConsoleA, ReadConsoleOutputAttribute, WriteConsoleOutputAttribute, ScrollConsoleScreenBufferW, GetLargestConsoleWindowSize, LoadLibraryExW, GetCurrentProcessId, OpenProcess, Sleep, SetConsoleActiveScreenBuffer, GetEnvironmentVariableA, GetConsoleCP, GetModuleHandleA, GetTickCount, GetCurrentThreadId, GetSystemTimeAsFileTime, GetCurrentProcess, TerminateProcess, SetConsoleCursorInfo, UnhandledExceptionFilter, SetConsoleMode, WriteFile, WaitForSingleObject, WriteConsoleInputW, ResetEvent, WriteConsoleW, lstrcpynW, LocalFree, SetConsoleTitleW, SetEvent, SetConsoleWindowInfo, SetConsoleScreenBufferSize, GetConsoleScreenBufferInfo, GetEnvironmentVariableW, LocalAlloc, CloseHandle, GetLastError, CreateFileW, GetACP, SetEnvironmentVariableW, FillConsoleOutputAttribute, FillConsoleOutputCharacterW, SetConsoleCursorPosition, WideCharToMultiByte, ReadConsoleW, WriteConsoleOutputW, ReadConsoleOutputW, FreeLibrary, GetProcAddress, LoadLibraryA, GetSystemDirectoryA, FormatMessageW, GetThreadLocale, SetThreadLocale
> USER32.dll: wsprintfW, GetMessageW, TranslateMessage, DispatchMessageW, RegisterClassW, CreateWindowExW, DefWindowProcW, KillTimer, SetWindowLongW, GetKeyboardType, DestroyWindow, VkKeyScanW, MessageBeep, SetRectEmpty, GetWindowLongW, PostMessageW, IsCharAlphaW, IsCharAlphaNumericW, LoadStringW, MapVirtualKeyW
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> Security.dll: AcquireCredentialsHandleW, QuerySecurityPackageInfoW, InitializeSecurityContextW
> IMM32.dll: ImmGetContext, ImmSetCompositionFontW, ImmSetCompositionWindow, ImmReleaseContext
> ole32.dll: CoCreateInstanceEx, CoUninitialize, CoInitializeEx
> GDI32.dll: TranslateCharsetInfo

( 0 exports )
 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)


****************      EOF        ****************
Mbam.log

Code:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2682
Windows 5.1.2600 Service Pack 3

28.08.2009 20:26:49
mbam-log-2009-08-28 (20-26-49).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 394980
Laufzeit: 8 hour(s), 23 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
cu Torsten

undoreal 30.08.2009 19:57
Das sieht alles gut aus. Wie sieht es am Rechner aus?

Torqus 31.08.2009 01:07
Hallo,

problem besteht weiterhin. Ich denke da mitlerweile an ne beschädigte systemdatei oder änliches.

Hab da noch Fehler in der 'WindowsUpdate.log' Datei gefunden.
Habe die Zeilen mit '*' markiert.

Code:
2009-08-28        11:14:48:296        2016        fcc        COMAPI        -------------
2009-08-28        11:14:48:296        2016        fcc        COMAPI        -- START --  COMAPI: Download [ClientId = MicrosoftUpdate]
2009-08-28        11:14:48:296        2016        fcc        COMAPI        ---------
2009-08-28        11:14:48:296        2016        fcc        COMAPI          - Forced: No; Download priority: 3
2009-08-28        11:14:48:296        2016        fcc        COMAPI          - Updates in request: 1
2009-08-28        11:14:48:296        2016        fcc        COMAPI          - ServiceID = {7971F918-A847-4430-9279-4A52D1EFE18D}
2009-08-28        11:14:48:296        2016        fcc        COMAPI        <<-- SUBMITTED -- COMAPI: Download [ClientId = MicrosoftUpdate]
2009-08-28        11:14:48:562        1160        e6c        DnldMgr        *************
2009-08-28        11:14:48:562        1160        e6c        DnldMgr        ** START **  DnldMgr: Downloading updates [CallerId = MicrosoftUpdate]
2009-08-28        11:14:48:562        1160        e6c        DnldMgr        *********
2009-08-28        11:14:48:562        1160        e6c        DnldMgr          * Call ID = {A65E6810-AFF0-4ABD-9CD6-6EBBB773DC80}
2009-08-28        11:14:48:562        1160        e6c        DnldMgr          * Priority = 3, Interactive = 1, Owner is system = 0, Explicit proxy = 1, Proxy session id = -1, ServiceId = {7971F918-A847-4430-9279-4A52D1EFE18D}
2009-08-28        11:14:48:562        1160        e6c        DnldMgr          * Updates to download = 1
2009-08-28        11:14:48:562        1160        e6c        Agent          *  Title = Update für Windows XP (KB970653)
2009-08-28        11:14:48:562        1160        e6c        Agent          *  UpdateId = {C73FCB01-13D0-42F8-8B1F-298F2350F40D}.100
2009-08-28        11:14:48:562        1160        e6c        Agent          *    Bundles 1 updates:
2009-08-28        11:14:48:562        1160        e6c        Agent          *      {F98EFB6D-8725-424E-9BA3-3982113C64D2}.100
2009-08-28        11:14:48:625        1160        e6c        DnldMgr        ***********  DnldMgr: New download job [UpdateId = {F98EFB6D-8725-424E-9BA3-3982113C64D2}.100]  ***********
2009-08-28        11:14:48:625        1160        e6c        DnldMgr          * Queueing update for download handler request generation.
2009-08-28        11:14:48:625        1160        e6c        DnldMgr        Generating download request for update {F98EFB6D-8725-424E-9BA3-3982113C64D2}.100
*2009-08-28        11:20:48:671        1160        e6c        DnldMgr        FATAL: BITS service was not fixed up and thus CCI was not reattempted. (hr = 80080005)
*2009-08-28        11:20:48:671        1160        e6c        DnldMgr        FATAL: Failed to connect to the BITS service; unable to start new downloads or interact with existing download jobs. (hr = 80080005)
*2009-08-28        11:20:48:671        1160        e6c        DnldMgr        FATAL: DM:CAgentDownloadManager::GetDownloadDataAndHandler: GetBitsManager failed with 0x80246008.
*2009-08-28        11:20:48:671        1160        e6c        DnldMgr        FATAL: DM:CAgentDownloadManager::GenerateAllDownloadRequests: GetDownloadDataAndHandler failed with 0x80246008.
*2009-08-28        11:20:48:671        1160        e6c        DnldMgr        Error 0x80246008 occurred while downloading update; notifying dependent calls.
*2009-08-28        11:20:48:734        1160        e6c        DnldMgr        WARNING: Extended error for reported error 80246008 = 80080005
*2009-08-28        11:20:48:734        1160        e6c        DnldMgr        WARNING: Extended error for reported error 80246008 = 80080005
2009-08-28        11:20:48:765        1160        e6c        Agent        *********
2009-08-28        11:20:48:765        1160        e6c        Agent        **  END  **  Agent: Downloading updates [CallerId = MicrosoftUpdate]
2009-08-28        11:20:48:765        1160        e6c        Agent        *************
2009-08-28        11:20:48:781        2016        1d8        COMAPI        >>--  RESUMED  -- COMAPI: Download [ClientId = MicrosoftUpdate]
2009-08-28        11:20:48:781        2016        1d8        COMAPI          - Download call complete (succeeded = 0, succeeded with errors = 0, failed = 1, unaccounted = 0)
2009-08-28        11:20:48:781        2016        1d8        COMAPI          - WARNING: Exit code = 0x00000000; Call error code = 0x80240022
2009-08-28        11:20:48:781        2016        1d8        COMAPI        ---------
2009-08-28        11:20:48:781        2016        1d8        COMAPI        --  END  --  COMAPI: Download [ClientId = MicrosoftUpdate]
2009-08-28        11:20:48:781        2016        1d8        COMAPI        -------------
2009-08-28        11:20:53:765        1160        e6c        Report        REPORT EVENT: {59614258-1541-4C9F-ABBE-C92A015E0452}        2009-08-28 11:20:48:765+0200        1        161        101        {C73FCB01-13D0-42F8-8B1F-298F2350F40D}        100        80246008        MicrosoftUpdate        Failure        Content Download        Error: Download failed.
2009-08-28        11:26:31:359        2016        fcc        COMAPI        -----------  COMAPI: IUpdateServiceManager::AddService  -----------
2009-08-28        11:26:31:359        2016        fcc        COMAPI          - ServiceId = {7971f918-a847-4430-9279-4a52d1efe18d}
2009-08-28        11:26:31:359        2016        fcc        COMAPI          - AuthorizationCabPath = C:\WINDOWS\SoftwareDistribution\AuthCabs\muauth.cab
2009-08-28        11:26:31:375        1160        56c        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\AuthCabs\Downloaded\7971f918-a847-4430-9279-4a52d1efe18d.auth.cab.temp\muauth.cab:
2009-08-28        11:26:31:375        1160        56c        Misc        Microsoft signed: Yes
2009-08-28        11:26:31:390        2804        f04        Misc        ===========  Logging initialized (build: 7.2.6001.788, tz: +0200)  ===========
2009-08-28        11:26:31:390        2804        f04        Misc          = Process: C:\WINDOWS\system32\wuauclt.exe
2009-08-28        11:26:31:390        2804        f04        Misc          = Module: C:\WINDOWS\system32\wuaueng.dll
2009-08-28        11:26:31:390        2804        f04        DtaStor        Update service properties: service registered with AU is {7971F918-A847-4430-9279-4A52D1EFE18D}
2009-08-28        11:26:31:390        2016        fcc        COMAPI          - Added service, URL = http://update.microsoft.com/microsoftupdate/
2009-08-28        11:26:31:390        2016        fcc        COMAPI        -----------  COMAPI: IUpdateServiceManager::RegisterServiceWithAU  -----------
2009-08-28        11:26:31:390        2016        fcc        COMAPI          - ServiceId = {7971f918-a847-4430-9279-4a52d1efe18d}
2009-08-28        11:26:31:390        2016        fcc        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\WuRedir\9482F4B4-E343-43B6-B170-9A65BC822C77\muv3wuredir.cab:
2009-08-28        11:26:31:406        2016        fcc        Misc        Microsoft signed: Yes
2009-08-28        11:26:31:781        2016        fcc        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\WuRedir\9482F4B4-E343-43B6-B170-9A65BC822C77\muv3wuredir.cab:
2009-08-28        11:26:31:781        2016        fcc        Misc        Microsoft signed: Yes
2009-08-28        11:26:31:781        2016        fcc        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\WebSetup\wuident.cab:
2009-08-28        11:26:31:781        2016        fcc        Misc        Microsoft signed: Yes
2009-08-28        11:26:32:015        2016        fcc        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\WebSetup\wuident.cab:
2009-08-28        11:26:32:015        2016        fcc        Misc        Microsoft signed: Yes
2009-08-28        11:26:33:015        2016        fcc        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\WebSetup\wsus3setup.cab:
2009-08-28        11:26:33:015        2016        fcc        Misc        Microsoft signed: Yes
2009-08-28        11:26:33:031        2016        fcc        Setup        ***********  Setup: Checking whether self-update is required  ***********
2009-08-28        11:26:33:031        2016        fcc        Setup          * Inf file: C:\WINDOWS\SoftwareDistribution\WebSetup\wsus3setup.inf
2009-08-28        11:26:33:031        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wuweb.dll: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:031        2016        fcc        Setup          * IsUpdateRequired = No
2009-08-28        11:26:33:031        2016        fcc        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\WuRedir\9482F4B4-E343-43B6-B170-9A65BC822C77\muv3wuredir.cab:
2009-08-28        11:26:33:031        2016        fcc        Misc        Microsoft signed: Yes
2009-08-28        11:26:33:359        2016        fcc        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\WuRedir\9482F4B4-E343-43B6-B170-9A65BC822C77\muv3wuredir.cab:
2009-08-28        11:26:33:359        2016        fcc        Misc        Microsoft signed: Yes
2009-08-28        11:26:33:359        2016        fcc        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\WebSetup\wuident.cab:
2009-08-28        11:26:33:359        2016        fcc        Misc        Microsoft signed: Yes
2009-08-28        11:26:33:562        2016        fcc        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\WebSetup\wuident.cab:
2009-08-28        11:26:33:562        2016        fcc        Misc        Microsoft signed: Yes
2009-08-28        11:26:33:562        2016        fcc        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\WebSetup\wsus3setup.cab:
2009-08-28        11:26:33:562        2016        fcc        Misc        Microsoft signed: Yes
2009-08-28        11:26:33:875        2016        fcc        Misc        Validating signature for C:\WINDOWS\SoftwareDistribution\WebSetup\wsus3setup.cab:
2009-08-28        11:26:33:890        2016        fcc        Misc        Microsoft signed: Yes
2009-08-28        11:26:33:890        2016        fcc        Setup        ***********  Setup: Checking whether self-update is required  ***********
2009-08-28        11:26:33:890        2016        fcc        Setup          * Inf file: C:\WINDOWS\SoftwareDistribution\WebSetup\wsus3setup.inf
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\cdm.dll: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wuapi.dll: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wuapi.dll.mui: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wuauclt.exe: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wuaucpl.cpl: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wuaucpl.cpl.mui: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wuaueng.dll: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wuaueng.dll.mui: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wucltui.dll: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wucltui.dll.mui: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wups.dll: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup        Update NOT required for C:\WINDOWS\system32\wups2.dll: target version = 7.2.6001.788, required version = 7.2.6001.788
2009-08-28        11:26:33:890        2016        fcc        Setup          * IsUpdateRequired = No
Vieleicht hilfts weiter.

cu Torsten

undoreal 31.08.2009 07:39
Dein System war heftig mit Malware befallen und ich möchte nicht ausschließen das dort immer noch etwas nicht in Ordnung ist. Daher rate ich dir den Rechner neuaufzusetzen.

Alternativ kannst du folgendes versuchen:

Downloade dir das Service Pack 3 und AVZ Trenne den Rechner vom Internet.

Deinstalliere über die Systemsteuerung das Service Pack 3 (KB936929).

Starte den Rechner neu und lasse den cCleaner laufen (Punkte 1&2)

Installiere das Service Pack 3.

Starte den Rechner neu.

Führe mit SuperAntiSpyware alle Reparaturen durch die du unter Preferences -> Repairs finden kannst.

Öffne AVZ wähle File -> System Restore: Dort alle Optionen markieren und dann Execute selected Operations auswählen.

Starte den Rechner neu und räume mit dem cCleaner auf.

Beobachte ob das Problem weiterhin besteht.

Torqus 01.09.2009 09:56
Hallo,
habe Service Pack 3 nach deinem Alternativ vorschlag neu instaliert.

Fehler scheint behoben zu sein, Last ist weg und automatische Updates funktionieren auch wieder.

Freue mich das wir eine Lösung gefunden haben.

Ich danke Dir.

Werde das System weiter beobachten.

cu Torsten


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131