Einzelne Internetseiten werden nicht gefunden

  • #1
S

Steve2009

Mitglied
Themenersteller
Dabei seit
11.02.2009
Beiträge
14
Reaktionspunkte
0
Hallo,

seit einiger Zeit habe ich ein Problem. Ich kann bestimmte Internetseiten nicht mehr ansurfen. Es kommt die Meldung „Firefox kann keine Verbindung zu Server … aufbauen.“ Eine Verbindung zu diesen Seiten mit dem Internet-Explorer ist ebenfalls nicht möglich. Zwei der Seiten, die nicht gefunden werden, sind support.microsoft.com und drweb.de. Außerdem habe das Problem, dass verschiedene Software (Steuererklärung und GoogleEarth) nicht mehr auf das Online-Update reagiert.

Als Sicherheits-Software verwende ich a-squared Anti-Malware und als Firewall Zone-Alarm. Ich kann jedoch diese beiden Programme als Verursacher ausschließen, da ich beide deinstalliert habe und ohne jeden Schutz die gleichen Probleme hatte.

Ich verwende folgende Konfiguration: Win XP Home SP3 aktueller Updatestand, Kabelmodem und dlink- Router. Es besteht eine permanente Verbindung zum Internet. Die höchste erreichbare Geschwindigkeit wurde auf Anweisung des Kabelinternet-Anbieters mit dem „TCP-Optimizer“ hergestellt. Dort habe ich, den Anweisungen folgend, einfach auf „Optimale Settings“ eingestellt.
Am Router kann es aber nicht liegen, ich habe das Problem auch, wenn ich den Router überbrücke.

Bei meiner Tochter, welche im Nachbarzimmer mit ihrem Laptop surft, besteht das Problem nicht, obwohl sie vom Router anhängig ist. Also ist daraus zu schließen. Dass irgendwas mit meinen Einstellungen nicht stimmt.

Hier das Log des HiJackFree:

Code: 
HiJackFree Logfile v3.0
Scan gespeichert um 18:31:58, am 11.02.2009
Betriebssystem: Windows XP Service Pack 3, v.5657 (Windows NT 5.1.2600)
MSIE: Internet Explorer v 7.0 Service Pack 3, v.5657 (7.0.5730.13)

Aktive Prozesse:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\a-squared Anti-Malware\a2service.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Acronis TrueImage 8.0\TrueImageMonitor.exe
C:\Programme\FreePDF_XP\fpassist.exe
D:\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\A-SQUARED ANTI-MALWARE\a2guard.exe
D:\RocketDock\RocketDock.exe
D:\EarthClock\EarthClock.exe
E:\DeskTask\DeskTask.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
D:\Mozilla Firefox 3\firefox.exe
E:\Microsoft Office\OFFICE11\WINWORD.EXE
D:\TypeItIn Prof 2.1\TypeItIn.exe
D:\Mozilla Thunderbird\thunderbird.exe
D:\a-squared Anti-Malware\a2HiJackFree.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Links
O2 - BHO: - {0ADAD48A-BA3B-3D15-B4CC-964446AAC2FD} - 
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - 
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: NCO Toolbar 2.0 - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - 
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - E:\PRMT6\PRMTIE\prmtie.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acronis True Image Monitor] D:\Acronis TrueImage 8.0\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 EPSON Stylus DX4800 Series /O6 USB001 /M Stylus DX4800
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] D:\VirtualCloneDrive\VCDDaemon.exe /s
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [a-squared] D:\A-SQUARED ANTI-MALWARE\a2guard.exe /d=60
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [RocketDock] D:\RocketDock\RocketDock.exe
O4 - HKLM\..\Run: [earthclock] D:\EarthClock\EarthClock.exe
O7 - Regedit - Aktiv
O8 - Extra Kontextmenü Eintrag: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFBAR.ICO
O14 - IERESET.INF: START_PAGE_URL=[url]http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome[/url]
O14 - IERESET.INF: SEARCH_PAGE_URL=[url]http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch[/url]
O14 - IERESET.INF: MS_START_PAGE_URL=[url]http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201082965796[/url]
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\
O21 - ShellServiceObjectDelayLoad: PostBootReminder - 
O21 - ShellServiceObjectDelayLoad: CDBurn - 
O21 - ShellServiceObjectDelayLoad: WebCheck - 
O21 - ShellServiceObjectDelayLoad: SysTray - 
O22 - SharedTaskScheduler: Browseui preloader - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - C:\WINDOWS\System32\browseui.dll
O23 - Dienst: a-squared Anti-Malware Service - D:\a-squared Anti-Malware\a2service.exe
O23 - Dienst: AAV UpdateService - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Dienst: Acronis Scheduler2 Service - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Dienst: Warndienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Gatewaydienst auf Anwendungsebene - C:\WINDOWS\System32\alg.exe
O23 - Dienst: Anwendungsverwaltung - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: ASFWHide - C:\DOKUME~1\Admin\LOKALE~1\Temp\ASFWHide
O23 - Dienst: ASP.NET State Service - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Dienst: Windows Audio - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Intelligenter Hintergrundübertragungsdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Computerbrowser - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Indexdienst - C:\WINDOWS\system32\cisvc.exe
O23 - Dienst: Ablagemappe - C:\WINDOWS\system32\clipsrv.exe
O23 - Dienst: .NET Runtime Optimization Service v2.0.50727_X86 - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Dienst: COM+-Systemanwendung - C:\WINDOWS\System32\dllhost.exe
O23 - Dienst: Kryptografiedienste - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: DCOM-Server-Prozessstart - C:\WINDOWS\system32\svchost
O23 - Dienst: DHCP-Client - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Verwaltungsdienst für die Verwaltung logischer Datenträger - C:\WINDOWS\System32\dmadmin.exe
O23 - Dienst: Verwaltung logischer Datenträger - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: DNS-Client - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: %dot3svc_displayname% - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: %eaphost_displayname% - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Fehlerberichterstattungsdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Ereignisprotokoll - C:\WINDOWS\system32\services.exe
O23 - Dienst: COM+-Ereignissystem - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Kompatibilität für schnelle Benutzerumschaltung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Fax - C:\WINDOWS\system32\fxssvc.exe
O23 - Dienst: Windows Presentation Foundation Font Cache 3.0.0.0 - C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
O23 - Dienst: Hilfe und Support - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Eingabegerätezugang - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: %hkmsvc_displayname% - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: HTTP-SSL - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Windows CardSpace - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
O23 - Dienst: IMAPI-CD-Brenn-COM-Dienste - C:\WINDOWS\System32\imapi.exe
O23 - Dienst: Java Quick Starter - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Dienst: Server - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Arbeitsstationsdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: TCP/IP-NetBIOS-Hilfsprogramm - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Nachrichtendienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: NetMeeting-Remotedesktop-Freigabe - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Dienst: Distributed Transaction Coordinator - C:\WINDOWS\System32\msdtc.exe
O23 - Dienst: Windows Installer - C:\WINDOWS\system32\msiexec.exe
O23 - Dienst: %napagent_displayname% - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Netzwerk-DDE-Dienst - C:\WINDOWS\system32\netdde.exe
O23 - Dienst: Netzwerk-DDE-Serverdienst - C:\WINDOWS\system32\netdde.exe
O23 - Dienst: Anmeldedienst - C:\WINDOWS\System32\lsass.exe
O23 - Dienst: Netzwerkverbindungen - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Net.Tcp Port Sharing Service - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
O23 - Dienst: NLA (Network Location Awareness) - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: NT-LM-Sicherheitsdienst - C:\WINDOWS\System32\lsass.exe
O23 - Dienst: Wechselmedien - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: NVIDIA Display Driver Service - C:\WINDOWS\system32\nvsvc32.exe
O23 - Dienst: Office Source Engine - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
O23 - Dienst: Plug & Play - C:\WINDOWS\system32\services.exe
O23 - Dienst: IPSEC-Dienste - C:\WINDOWS\System32\lsass.exe
O23 - Dienst: Geschützter Speicher - C:\WINDOWS\system32\lsass.exe
O23 - Dienst: Verwaltung für automatische RAS-Verbindung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: RAS-Verbindungsverwaltung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Sitzungs-Manager für Remotedesktophilfe - C:\WINDOWS\system32\sessmgr.exe
O23 - Dienst: Routing und RAS - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: RPC-Locator - C:\WINDOWS\System32\locator.exe
O23 - Dienst: Remoteprozeduraufruf (RPC) - C:\WINDOWS\system32\svchost
O23 - Dienst: QoS-RSVP - C:\WINDOWS\System32\rsvp.exe
O23 - Dienst: Sicherheitskontenverwaltung - C:\WINDOWS\system32\lsass.exe
O23 - Dienst: Smartcard - C:\WINDOWS\System32\SCardSvr.exe
O23 - Dienst: Taskplaner - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Sekundäre Anmeldung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Systemereignisbenachrichtigung - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Shellhardwareerkennung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Druckwarteschlange - C:\WINDOWS\system32\spoolsv.exe
O23 - Dienst: Systemwiederherstellungsdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: SSDP-Suchdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Windows-Bilderfassung (WIA) - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: MS Software Shadow Copy Provider - C:\WINDOWS\System32\dllhost.exe
O23 - Dienst: Leistungsdatenprotokolle und Warnungen - C:\WINDOWS\system32\smlogsvc.exe
O23 - Dienst: Telefonie - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Terminaldienste - C:\WINDOWS\System32\svchost
O23 - Dienst: Designs - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Überwachung verteilter Verknüpfungen (Client) - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: TuneUp Drive Defrag-Dienst - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Dienst: Windows User Mode Driver Framework - C:\WINDOWS\system32\wdfmgr.exe
O23 - Dienst: Universeller Plug & Play-Gerätehost - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Unterbrechungsfreie Stromversorgung - C:\WINDOWS\System32\ups.exe
O23 - Dienst: TuneUp Designerweiterung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: TrueVector Internet Monitor - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Dienst: Volumeschattenkopie - C:\WINDOWS\System32\vssvc.exe
O23 - Dienst: Windows-Zeitgeber - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Webclient - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Windows-Verwaltungsinstrumentation - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Dienst für Seriennummern der tragbaren Medien - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: WMI-Leistungsadapter - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Dienst: Sicherheitscenter - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Automatische Updates - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Konfigurationsfreie drahtlose Verbindung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Netzwerkversorgungsdienst - C:\WINDOWS\System32\svchost.exe

Kann jemand helfen?


[br][blue]*PCDCharly: Verschoben aus Sonstiges rund ums Internet*[/blue]
 
  • #4
Also, auf komme ich noch, doch der dort angegebene Link funktioniert nicht. Ich habe das Log-File nun auswerten lassen. Die Auswertung sieht nicht gut aus. Sehr viele gefährliche Dinge, wie es scheint. Was genau muss ich jetzt tun, um um eine Neuinstallation herumzukommen und trotzdem den Rechner wieder sauber zu bekommen? Ich habe hijackthis installiert und versucht zu benutzen, leider will er immer Seiten im Browser aufrufen, die der Browser nicht erreichen kann.
 
  • #5
die seite brauch länger zum laden, aber ich brauch das logfile von dem tool.

mach bitte zuerst das mal:

Gebe unter Start/Ausfuehren devmgmt.msc ein und druecke Enter, dann ueber Ansicht, Ausgeblendete Geraete anzeigen waehlen, nicht-PNP-Treiber anzeigen lassen und dort den Treiber TDSSserv.sys oder aehnlich und ATI3JQXX deaktivieren und neu starten. Teile mir auch mit falls dort Treiber stehen mit gao*** oder msp***
 
  • #6
Also: Treiber mit msp* oder gao* gibt es keine. ATI3JQXX gibt es auch nicht. TDSSserv.sys habe ich deaktiviert und neu gestartet. Hat jetzt ein rotes X. Zwischentest meiner Probleme ergibt: Die ständige Umleitung auf irgendwelche Internetseiten, wenn ich über eine Google-Suche gehe, ist wieder weg. Surfen geht normal. Auch das Ansurfen bistimmter Seiten, die bisher für mich nicht erreichbar waren, funktioniert jetzt. Also, erstmal ein großes Danke, für die Lösung der Probleme. Ich gehe jedoch davon aus, dass wir der Sache mit Hilfe des OTMoveIt3 auf den Grund gehen müssen, damit die Ursache gefunden wird, oder?

Leider habe ich ein Problem mit dem OTMoveIt3. Der Download hat nun ebenfalls geklappt, die Seite war ja vorher auch nicht zu erreichen. Ich habe das OTMoveIt3 also gestartet und mir auch im Sicherheits-Center bei der Hilfe zur Schädlingsbeseitigung alles durchgelesen. Aber mit über 50 geht es halt nicht mehr so gut :|
Bitte sei nochmal so nett, und sage mir, was ich da genau in das linke Fenster reinkopieren soll.

Gruß
Steve
 
  • #7
wer hat was von otmoveit gesagt? mein link von oben führt zu dem tool Gmer, das sollst du laufen lassen und das log posten :).
 
  • #8
OK. Das Log ist erstellt. Aber es lässt sich nicht ins Forum schreiben, da es zu lang ist. Es kommt eine Fehlermeldung, wegen 2000 Zeichen und so. Kann ich es irgendwie als Datei anhängen? Oder soll ich es teilen?
 
  • #9
teilen und dann posten. mach immer folgendes, wenn du ein log postest:

setze vor den text [code ] und ans ende des textes [/code ]

aber lass bitte die leerzeichen hinter dem wort code weg :). das sollte dann so aussehen:

Code: 
test text in code tags eingeschlossen
 
  • #10
1.Teil
Code: 
GMER 1.0.14.14536 - [url]http://www.gmer.net[/url]
Rootkit scan 2009-02-12 14:41:40
Windows 5.1.2600 Service Pack 3, v.5657


---- System - GMER 1.0.14 ----

SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwConnectPort [0xF40A7040]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwCreateFile [0xF40A3930]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwCreateKey [0xF40AEA80]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwCreatePort [0xF40A7510]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwCreateProcess [0xF40AD870]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwCreateProcessEx [0xF40ADAA0]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwCreateSection [0xF40B0FD0]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwCreateWaitablePort [0xF40A7600]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwDeleteFile [0xF40A3F20]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwDeleteKey [0xF40AF6E0]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwDeleteValueKey [0xF40AF440]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwDuplicateObject [0xF40AD580]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwLoadKey [0xF40AF8B0]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwOpenFile [0xF40A3D70]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwOpenProcess [0xF40AD350]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwOpenThread [0xF40AD150]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwRenameKey [0xF40B0250]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwReplaceKey [0xF40AFCB0]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwRequestWaitReplyPort [0xF40A6C00]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwRestoreKey [0xF40B0080]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwSecureConnectPort [0xF40A7220]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwSetInformationFile [0xF40A4120]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwSetValueKey [0xF40AF140]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                               ZwTerminateProcess [0xF40ADCD0]

---- Kernel code sections - GMER 1.0.14 ----

.text      TUKERNEL.EXE!_abnormal_termination + 104                                                 804E2760 1 Byte [ 10 ]
.text      TUKERNEL.EXE!_abnormal_termination + 106                                                 804E2762 10 Bytes [ 0A, F4, 70, D8, 0A, F4, A0, ... ]
.text      TUKERNEL.EXE!_abnormal_termination + 36C                                                 804E29C8 1 Byte [ 00 ]
.text      TUKERNEL.EXE!_abnormal_termination + 36E                                                 804E29CA 2 Bytes [ 0A, F4 ]
?        srescan.sys                                                               Das System kann die angegebene Datei nicht finden. !
?        C:\WINDOWS\system32\Drivers\mchInjDrv.sys                                                Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text      C:\WINDOWS\Explorer.EXE[1456] ntdll.dll!NtDeleteValueKey                                         7C91D250 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\Explorer.EXE[1456] ntdll.dll!NtDeleteValueKey + 4                                       7C91D254 2 Bytes [ 32, 5F ]
.text      C:\WINDOWS\Explorer.EXE[1456] ntdll.dll!NtOpenProcess                                          7C91D5E0 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\Explorer.EXE[1456] ntdll.dll!NtOpenProcess + 4                                        7C91D5E4 2 Bytes [ 35, 5F ]
.text      C:\WINDOWS\Explorer.EXE[1456] ntdll.dll!NtSetInformationFile                                       7C91DC40 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\Explorer.EXE[1456] ntdll.dll!NtSetInformationFile + 4                                     7C91DC44 2 Bytes [ 38, 5F ]
.text      C:\WINDOWS\Explorer.EXE[1456] ntdll.dll!NtSetValueKey                                          7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\Explorer.EXE[1456] ntdll.dll!NtSetValueKey + 4                                        7C91DDB4 2 Bytes [ 2F, 5F ]
.text      C:\WINDOWS\Explorer.EXE[1456] ntdll.dll!NtWriteFile                                           7C91DF60 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\Explorer.EXE[1456] ntdll.dll!NtWriteFile + 4                                         7C91DF64 2 Bytes [ 2C, 5F ]
.text      C:\WINDOWS\Explorer.EXE[1456] kernel32.dll!LoadLibraryExW + C4                                      7C801BB9 4 Bytes [ 43, E4, 57, 84 ]
.text      C:\WINDOWS\Explorer.EXE[1456] kernel32.dll!WriteProcessMemory                                      7C802213 6 Bytes JMP 5F100F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] ADVAPI32.dll!CreateServiceA                                        77E071E9 6 Bytes JMP 5F220F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] ADVAPI32.dll!CreateServiceW                                        77E07381 6 Bytes JMP 5F250F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] USER32.dll!PostMessageW                                          7E368CCB 6 Bytes JMP 5F3D0F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] USER32.dll!SendMessageW                                          7E36B8BA 6 Bytes JMP 5F3A0F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] USER32.dll!PostMessageA                                          7E36D11D 6 Bytes JMP 5F1F0F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] USER32.dll!SendInput                                            7E37F151 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\Explorer.EXE[1456] USER32.dll!SendInput + 4                                          7E37F155 2 Bytes [ 1A, 5F ]
.text      C:\WINDOWS\Explorer.EXE[1456] USER32.dll!SendMessageA                                          7E37F3D3 6 Bytes JMP 5F1C0F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] USER32.dll!mouse_event                                           7E3B6737 6 Bytes JMP 5F130F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] USER32.dll!keybd_event                                           7E3B677B 6 Bytes JMP 5F160F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] SHELL32.dll!Shell_NotifyIconW                                       7E6DA517 6 Bytes JMP 5F280F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] WS2_32.dll!WSALookupServiceBeginW                                     71A135EF 6 Bytes JMP 5F0D0F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] WS2_32.dll!connect                                             71A14A07 6 Bytes JMP 5F070F5A 
.text      C:\WINDOWS\Explorer.EXE[1456] WS2_32.dll!listen                                             71A18CD3 6 Bytes JMP 5F0A0F5A 
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ntdll.dll!NtDeleteValueKey                                 7C91D250 3 Bytes [ FF, 25, 1E ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ntdll.dll!NtDeleteValueKey + 4                               7C91D254 2 Bytes [ 29, 5F ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ntdll.dll!NtOpenProcess                                   7C91D5E0 3 Bytes [ FF, 25, 1E ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ntdll.dll!NtOpenProcess + 4                                 7C91D5E4 2 Bytes [ 2C, 5F ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ntdll.dll!NtSetInformationFile                               7C91DC40 3 Bytes [ FF, 25, 1E ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ntdll.dll!NtSetInformationFile + 4                             7C91DC44 2 Bytes [ 2F, 5F ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ntdll.dll!NtSetValueKey                                   7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ntdll.dll!NtSetValueKey + 4                                 7C91DDB4 2 Bytes [ 26, 5F ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ntdll.dll!NtWriteFile                                    7C91DF60 3 Bytes [ FF, 25, 1E ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ntdll.dll!NtWriteFile + 4                                  7C91DF64 2 Bytes [ 23, 5F ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] kernel32.dll!LoadLibraryExW + C4                              7C801BB9 4 Bytes [ 43, E4, 32, 84 ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] kernel32.dll!WriteProcessMemory                               7C802213 6 Bytes JMP 5F070F5A 
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] USER32.dll!PostMessageW                                   7E368CCB 6 Bytes JMP 5F340F5A 
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] USER32.dll!SendMessageW                                   7E36B8BA 6 Bytes JMP 5F310F5A
[br][br]Erstellt am: 12.02.09 um 15:10:37
[br]2.Teil
Code: 
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] USER32.dll!PostMessageA                                   7E36D11D 6 Bytes JMP 5F160F5A 
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] USER32.dll!SendInput                                    7E37F151 3 Bytes [ FF, 25, 1E ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] USER32.dll!SendInput + 4                                  7E37F155 2 Bytes [ 11, 5F ]
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] USER32.dll!SendMessageA                                   7E37F3D3 6 Bytes JMP 5F130F5A 
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] USER32.dll!mouse_event                                   7E3B6737 6 Bytes JMP 5F0A0F5A 
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] USER32.dll!keybd_event                                   7E3B677B 6 Bytes JMP 5F0D0F5A 
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ADVAPI32.dll!CreateServiceA                                 77E071E9 6 Bytes JMP 5F190F5A 
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] ADVAPI32.dll!CreateServiceW                                 77E07381 6 Bytes JMP 5F1C0F5A 
.text      C:\Programme\Logitech\SetPoint\KEM.exe[1836] SHELL32.dll!Shell_NotifyIconW                                7E6DA517 6 Bytes JMP 5F1F0F5A 
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!NtDeleteValueKey                                     7C91D250 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!NtDeleteValueKey + 4                                   7C91D254 2 Bytes [ 29, 5F ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!NtOpenProcess                                      7C91D5E0 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!NtOpenProcess + 4                                    7C91D5E4 2 Bytes [ 2C, 5F ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!NtSetInformationFile                                   7C91DC40 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!NtSetInformationFile + 4                                 7C91DC44 2 Bytes [ 2F, 5F ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!NtSetValueKey                                      7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!NtSetValueKey + 4                                    7C91DDB4 2 Bytes [ 26, 5F ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!NtWriteFile                                       7C91DF60 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ntdll.dll!NtWriteFile + 4                                     7C91DF64 2 Bytes [ 23, 5F ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] kernel32.dll!LoadLibraryExW + C4                                  7C801BB9 4 Bytes [ 43, E4, 55, 84 ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] kernel32.dll!WriteProcessMemory                                  7C802213 6 Bytes JMP 5F070F5A 
.text      C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!PostMessageW                                      7E368CCB 6 Bytes JMP 5F340F5A 
.text      C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!SendMessageW                                      7E36B8BA 6 Bytes JMP 5F310F5A 
.text      C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!PostMessageA                                      7E36D11D 6 Bytes JMP 5F160F5A 
.text      C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!SendInput                                        7E37F151 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!SendInput + 4                                      7E37F155 2 Bytes [ 11, 5F ]
.text      C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!SendMessageA                                      7E37F3D3 6 Bytes JMP 5F130F5A 
.text      C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!mouse_event                                       7E3B6737 6 Bytes JMP 5F0A0F5A 
.text      C:\WINDOWS\system32\wscntfy.exe[2152] USER32.dll!keybd_event                                       7E3B677B 6 Bytes JMP 5F0D0F5A 
.text      C:\WINDOWS\system32\wscntfy.exe[2152] SHELL32.dll!Shell_NotifyIconW                                   7E6DA517 6 Bytes JMP 5F1F0F5A 
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ADVAPI32.dll!CreateServiceA                                    77E071E9 6 Bytes JMP 5F190F5A 
.text      C:\WINDOWS\system32\wscntfy.exe[2152] ADVAPI32.dll!CreateServiceW                                    77E07381 6 Bytes JMP 5F1C0F5A 
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ntdll.dll!NtDeleteValueKey                                         7C91D250 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ntdll.dll!NtDeleteValueKey + 4                                       7C91D254 2 Bytes [ 29, 5F ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ntdll.dll!NtOpenProcess                                          7C91D5E0 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ntdll.dll!NtOpenProcess + 4                                        7C91D5E4 2 Bytes [ 2C, 5F ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ntdll.dll!NtSetInformationFile                                       7C91DC40 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ntdll.dll!NtSetInformationFile + 4                                     7C91DC44 2 Bytes [ 2F, 5F ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ntdll.dll!NtSetValueKey                                          7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ntdll.dll!NtSetValueKey + 4                                        7C91DDB4 2 Bytes [ 26, 5F ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ntdll.dll!NtWriteFile                                           7C91DF60 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ntdll.dll!NtWriteFile + 4                                         7C91DF64 2 Bytes [ 23, 5F ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] kernel32.dll!LoadLibraryExW + C4                                      7C801BB9 4 Bytes [ 43, E4, 86, 84 ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] kernel32.dll!WriteProcessMemory                                      7C802213 6 Bytes JMP 5F070F5A 
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] USER32.dll!PostMessageW                                          7E368CCB 6 Bytes JMP 5F340F5A 
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] USER32.dll!SendMessageW                                          7E36B8BA 6 Bytes JMP 5F310F5A 
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] USER32.dll!PostMessageA                                          7E36D11D 6 Bytes JMP 5F160F5A 
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] USER32.dll!SendInput                                            7E37F151 3 Bytes [ FF, 25, 1E ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] USER32.dll!SendInput + 4                                          7E37F155 2 Bytes [ 11, 5F ]
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] USER32.dll!SendMessageA                                          7E37F3D3 6 Bytes JMP 5F130F5A 
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] USER32.dll!mouse_event                                           7E3B6737 6 Bytes JMP 5F0A0F5A 
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] USER32.dll!keybd_event                                           7E3B677B 6 Bytes JMP 5F0D0F5A 
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ADVAPI32.dll!CreateServiceA                                        77E071E9 6 Bytes JMP 5F190F5A 
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] ADVAPI32.dll!CreateServiceW                                        77E07381 6 Bytes JMP 5F1C0F5A 
.text      C:\WINDOWS\SOUNDMAN.EXE[2296] SHELL32.dll!Shell_NotifyIconW                                       7E6DA517 6 Bytes JMP 5F1F0F5A 
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ntdll.dll!NtDeleteValueKey                              7C91D250 3 Bytes [ FF, 25, 1E ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ntdll.dll!NtDeleteValueKey + 4                            7C91D254 2 Bytes [ 29, 5F ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ntdll.dll!NtOpenProcess                               7C91D5E0 3 Bytes [ FF, 25, 1E ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ntdll.dll!NtOpenProcess + 4                             7C91D5E4 2 Bytes [ 2C, 5F ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ntdll.dll!NtSetInformationFile                            7C91DC40 3 Bytes [ FF, 25, 1E ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ntdll.dll!NtSetInformationFile + 4                          7C91DC44 2 Bytes [ 2F, 5F ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ntdll.dll!NtSetValueKey                               7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ntdll.dll!NtSetValueKey + 4                             7C91DDB4 2 Bytes [ 26, 5F ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ntdll.dll!NtWriteFile                                7C91DF60 3 Bytes [ FF, 25, 1E ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ntdll.dll!NtWriteFile + 4                              7C91DF64 2 Bytes [ 23, 5F ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] kernel32.dll!LoadLibraryExW + C4                           7C801BB9 4 Bytes [ 43, E4, BD, 83 ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] kernel32.dll!WriteProcessMemory                           7C802213 6 Bytes JMP 5F070F5A 
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ADVAPI32.dll!CreateServiceA                             77E071E9 6 Bytes JMP 5F190F5A 
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] ADVAPI32.dll!CreateServiceW                             77E07381 6 Bytes JMP 5F1C0F5A 
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] USER32.dll!PostMessageW                               7E368CCB 6 Bytes JMP 5F340F5A 
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] USER32.dll!SendMessageW                               7E36B8BA 6 Bytes JMP 5F310F5A 
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] USER32.dll!PostMessageA                               7E36D11D 6 Bytes JMP 5F160F5A 
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] USER32.dll!SendInput                                 7E37F151 3 Bytes [ FF, 25, 1E ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] USER32.dll!SendInput + 4                               7E37F155 2 Bytes [ 11, 5F ]
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] USER32.dll!SendMessageA                               7E37F3D3 6 Bytes JMP 5F130F5A 
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] USER32.dll!mouse_event                                7E3B6737 6 Bytes JMP 5F0A0F5A

[br][br]Erstellt am: 12.02.09 um 15:12:44
[br]3.Teil
Code: 
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] USER32.dll!keybd_event                                7E3B677B 6 Bytes JMP 5F0D0F5A 
.text      D:\Acronis TrueImage 8.0\TrueImageMonitor.exe[2316] SHELL32.dll!Shell_NotifyIconW                            7E6DA517 6 Bytes JMP 5F1F0F5A 
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] ntdll.dll!NtDeleteValueKey                                  7C91D250 3 Bytes [ FF, 25, 1E ]
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] ntdll.dll!NtDeleteValueKey + 4                                7C91D254 2 Bytes [ 29, 5F ]
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] ntdll.dll!NtOpenProcess                                    7C91D5E0 3 Bytes [ FF, 25, 1E ]
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] ntdll.dll!NtOpenProcess + 4                                  7C91D5E4 2 Bytes [ 2C, 5F ]
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] ntdll.dll!NtSetInformationFile                                7C91DC40 3 Bytes [ FF, 25, 1E ]
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] ntdll.dll!NtSetInformationFile + 4                              7C91DC44 2 Bytes [ 2F, 5F ]
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] ntdll.dll!NtSetValueKey                                    7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] ntdll.dll!NtSetValueKey + 4                                  7C91DDB4 2 Bytes [ 26, 5F ]
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] ntdll.dll!NtWriteFile                                     7C91DF60 3 Bytes [ FF, 25, 1E ]
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] ntdll.dll!NtWriteFile + 4                                   7C91DF64 2 Bytes [ 23, 5F ]
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] kernel32.dll!LoadLibraryExW + C4                               7C801BB9 4 Bytes [ 43, E4, 90, 84 ]
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] kernel32.dll!WriteProcessMemory                                7C802213 6 Bytes JMP 5F070F5A 
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] USER32.dll!PostMessageW                                    7E368CCB 6 Bytes JMP 5F340F5A 
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] USER32.dll!SendMessageW                                    7E36B8BA 6 Bytes JMP 5F310F5A 
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] USER32.dll!PostMessageA                                    7E36D11D 6 Bytes JMP 5F160F5A 
.text      C:\Programme\FreePDF_XP\fpassist.exe[2376] USER32.dll!SendInput
 
  • #11
vorab, bevor ich mir jetzt hier ne ellenlange anleitung aus dem ärmel ziehe, ein paar fragen:

1) machst du geldgeschäfte mit dem rechner?
2) wieviel zeit und lust hast du, die nächsten, sagen wir mal drei tage mit mir hier zu verbringen? :) vorrausgesetzt du bleibst am ball.


ich frage, weil du ne richtig schöne, üble rootkit-infektion hast, mit backdoor und allem drum und dran, quasi der mercedes unter den infektionen.

formatieren ist sicherer und schneller, wir können aber versuchen zu bereinigen, wenn der rechner nicht für geldgeschäfte genutzt wird.

was willst du machen? :)
 
  • #12
Meinst Du mit Geldgeschäfte Onlinebanking? Dann leider: JA. Dann würde ich das System schon eher plattmachen und neu aufsetzen. Aber daraus resultiert schon die nächste Frage: Wie konnte das passieren, bei einer funktionierenden Firwall wie ZoneAlarm und einer Antivirus-Antimalware-Software wie a-squared-Antimalware? Wieviel Gummis muss man sich eigentlich überstreifen, damit man sich nichts holt? :mad:

Nein, mal im Ernst - Gibt es eine Möglichkeit, solchen Mist zu verhindern? Kommt das beim Surfen rein, über Downloads oder über Browserzusätze?
Ich würde die Zeit schon investieren, um den Mist runterzubekommen, wenn es trotz des Onlinebankings machbar wäre. Aber, was ist, wenn ich irgendwas in meinem Softwarearchiv oder in meinem Firefox-Profil habe, was es auslöste? Betroffen wäre dann auch die komplette Dattensicherung auf einer externen Platte.
 
  • #13
auf jeden fall steckt hierbei auch meist ein autorun-wurm mit drin, heißt also alle platten plätten ( was fürn satzbau :D)

ich reinige auch rechner an denen geldgeschäfte gemacht werden, nur dann ist der gegenwind meist größer, den ich abbekomme. nicht jeder denkt dass man sowas reinigen kann ;).
 
  • #14
Ich denke, dass ich das System neu mache. Was meinst Du, wie ist der Mist auf meinen Rechner gekommen? Ich will möglichst ausschließen, dass es nochmal passiert.
 
  • #15
komische seiten angesurft und/oder ungepatches system/software. dass filesharing/p2p sowie cracks/keygens ein absolutes nogo sind brauch ich nicht zu erwähnen :).
 
  • #16
Also gut. Dann hau ich jetzt ab und mache das berüchtigte format c:/

Ich danke Dir auf jeden Fall erstmal für Deine Hilfe. Wenn ich alles neu geamcht habe, tauche ich hier wieder auf und melde Vollzug. Kann aber ein paar Tage dauern.

Bis dann
Gruß
Steve
 
  • #17
kanst ja dann zur kontrolle ein hijackthis-log posten, ich schau dann drüber :)
 
  • #18
Und schon bin ich fertig! Partitionen gelöscht, verschoben, formatiert. Das Ganze System neu gemacht und das Kind angeschnauzt. Habe jetzt zusätzlich zu a-squared noch sbybot und avira (einschließlich rootkit-Schutz). Die Auswertung ergab keinerlei rote Einträge. Hier mal das log:

Code: 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\msdtc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\FreePDF_XP\fpassist.exe
D:\RocketDock\RocketDock.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
D:\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.google.de/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [a-squared] C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe /d=60
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 EPSON Stylus DX4800 Series /O6 USB001 /M Stylus DX4800
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] D:\RocketDock\RocketDock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->Default user')
O4 - Startup: ALF-BanCo 3 Reminder.lnk = D:\ALFBanCo3\AlfReminder3.exe
O4 - Startup: Desktop Calendar StartUp.lnk = ?
O4 - Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra->Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234466765718[/url]
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Update Service (gupdate1c98ddfc231b712) (gupdate1c98ddfc231b712) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich denke, so ist es jetzt o.k., oder?
 
  • #19
schaut gut aus, wurden alle partitionen und externe laufwerke geplättet?
 
  • #20
Ja, ich habe von den vorhandenen Partitionen alle sieben gelöscht und vier neue erstellt. Ganz bewußt leere Partitions-Plätze erstellt, verschoben, Größen geändert und umbenannt. Dann alles formatiert.
In meinem Software-Archiv befinden sich nur Kauf-Originale, bezahlte Shareware bzw. Freeware. Shareware und Freeware habe ich im Internet nochmals geprüft - alle sauber. Es kann nur durch irgendwas beim Surfen reingekommen sein.
Aber ich denke, jetzt bin ich sicher.
Auf jeden Fall danke ich Dir für die kompetente Hilfe!

Gruß
Steve
 
Thema:

Einzelne Internetseiten werden nicht gefunden

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.965
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben