Kritischer eitrag lässt sich nicht fixen

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von Metzelbude, 27. Mai 2009 .

Schlagworte:
  1. 27. Mai 2009
    Hi,

    hab laut der analyse von HiJackThis einen kritischen Eintrag, der sich aber nicht fixen lässt.

    Hier mal der Log:

    Code:
    Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:56:38, on 27.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Napster\napster.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Spybot\TeaTimer.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\GetRight\GetRight.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Johannes\Desktop\Stuff\MirandaFusion\miranda32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Dokumente und Einstellungen\Johannes\Desktop\Terminals1.7e\Terminals1.7e\Terminals.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\spybot\SDHelper.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] REM C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] REM C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] REM "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [] REM 
O4 - HKCU\..\Run: [ScreenshotManager] "C:\Dokumente und Einstellungen\Johannes\Desktop\ScreenshotManager.exe"
O4 - HKCU\..\Run: [sysgen] C:\WINDOWS\system32\gxsbmxal.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [1TK8qne15S] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ypqjkbgt\ufcrylyp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: GetRight.lnk = C:\Programme\GetRight\GetRight.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\spybot\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: appmsghlp - {2634C132-BF37-871C-861F-007D13D55A15} - C:\Programme\coyqhyf\appmsghlp.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Win32 Firewall v1 (winfir.Win32 Firewall v1) - Unknown owner - C:\Dokumente und Einstellungen\Johannes\Desktop\asd\win32firewall.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 7649 bytes

    gruß Metzelbude
     
    + Multi-Zitat Zitieren
  3. 27. Mai 2009
    AW: Kritischer eitrag lässt sich nicht fixen

    Ähm an sich würd der Eintrag reichen

    Code:
    O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
    Logfileauswertung sagt dazu:
    Wie fixe ich das?

    #1 Lösche die SVCHOST.EXE im C:\WINDOWS\system32\drivers Verzeichnis, Achtung!!! Nur die im Ordner drivers löschen, die im System32 Ordner ist essentieller Bestandteil von Windows
    Wenn Windows sagt die Datei wird verwendet oder kann nicht gelöscht werden benutz zum Löschen den Unlocker Assistant oder kill den SVCHOST.EXE Prozess via Sysinternals Process Explorer o.ä.

    #2 Start>Ausführen: regedit <enter>
    Dann in der Registry den entsprechenden Eintrag löschen. Dieser liegt sollte hier sein:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Run

    Dann mal das System rebooten und HJT neu drüberrennen lassen Good Luck

    Edit, kann natürlich sein dass du auch noch irgendwo einen Dropper drauf hast der dir das Ding installiert hat. Lass mal nen guten AV drüberlaufen, am besten einen mit Rootkit detection oderso. Sollte allerdings clean sein. ZAPCHAS ist ein richtiger Backdoor Trojaner den man via IRC steuern kann und der nimmt die Registry Eintragung selber vor.
     
    + Multi-Zitat Zitieren
  4. 27. Mai 2009
    AW: Kritischer eitrag lässt sich nicht fixen


    bei #1 fängts ja schon an, die datei gibts nicht....
     
    + Multi-Zitat Zitieren
  5. 27. Mai 2009
    AW: Kritischer eitrag lässt sich nicht fixen

    Dann würde ich mal ein Antirootkit-Tool wie GMER, RootkitRevealer oder IceSword benutzen. DAs sieht nämlich ganz nach einem Rootkit aus
     
    + Multi-Zitat Zitieren
  6. 28. Mai 2009
    AW: Kritischer eitrag lässt sich nicht fixen

    Jo und wenn du garnix findest fix das Ding von ner Live Rescue Disk aus, den Registry Eintrag bekommt man hiermit auch offline raus: Offline NT Password & Registry Editor

    Allerdings würd ich da wahrscheinlich als leicht paranoider Chaot offline ein Backup machen (von ner Linux Distri) und meine Kiste neu aufsetzen. (Und update mal dein Windows SP3 is schon ne ganze weile released)
     
    + Multi-Zitat Zitieren
  7. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten