Hilfe
Neues Thema
Antworten
ich habe heute abend zum ersten Mal (und mein System läuft schon sehr lange) die Meldung vom Windows Dateischutz erhalten, habe dies auch nochmal in der Ereignisanzeige überprüft, und vorher hatte sich der Dateischutz tatsächlich noch nicht gemeldet. Heute waren es dann aber gleich 28 Einträge (wobei sich da manches wiederholt), von denen 6 Dateien laut der Ereignisanzeige nicht wiederhergestellt werden konnten. Hier die Meldungen:
Zitat
Die Systemdatei c:\windows\system32\inetsrv\certmap.ocx konnte nicht in den DLL-Cache kopiert werden. Der angegebene Fehlercode ist 0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.]. Diese Datei ist erforderlich, um die Systemstabilität zu gewährleisten.
Die geschützte Systemdatei msls31.dll konnte nicht mit der gültigen Originalversion wiederhergestellt werden. Die Dateiversion der ungültigen Datei ist 0x0000000d [Die Daten sind unzulässig.]. Der spezifische Fehlercode ist 3.10.349.0.
Die Systemdatei c:\windows\system32\ftpsapi2.dll konnte nicht in den DLL-Cache kopiert werden. Der angegebene Fehlercode ist 0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.]. Diese Datei ist erforderlich, um die Systemstabilität zu gewährleisten.
Die Systemdatei c:\windows\system32\iisreset.exe konnte nicht in den DLL-Cache kopiert werden. Der angegebene Fehlercode ist 0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.]. Diese Datei ist erforderlich, um die Systemstabilität zu gewährleisten.
Die Systemdatei c:\windows\system32\iisrstap.dll konnte nicht in den DLL-Cache kopiert werden. Der angegebene Fehlercode ist 0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.]. Diese Datei ist erforderlich, um die Systemstabilität zu gewährleisten.
Die Systemdatei c:\windows\system32\inetsrv\iisui.dll konnte nicht in den DLL-Cache kopiert werden. Der angegebene Fehlercode ist 0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.]. Diese Datei ist erforderlich, um die Systemstabilität zu gewährleisten.
Die geschützte Systemdatei msls31.dll konnte nicht mit der gültigen Originalversion wiederhergestellt werden. Die Dateiversion der ungültigen Datei ist 0x0000000d [Die Daten sind unzulässig.]. Der spezifische Fehlercode ist 3.10.349.0.
Die Systemdatei c:\windows\system32\ftpsapi2.dll konnte nicht in den DLL-Cache kopiert werden. Der angegebene Fehlercode ist 0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.]. Diese Datei ist erforderlich, um die Systemstabilität zu gewährleisten.
Die Systemdatei c:\windows\system32\iisreset.exe konnte nicht in den DLL-Cache kopiert werden. Der angegebene Fehlercode ist 0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.]. Diese Datei ist erforderlich, um die Systemstabilität zu gewährleisten.
Die Systemdatei c:\windows\system32\iisrstap.dll konnte nicht in den DLL-Cache kopiert werden. Der angegebene Fehlercode ist 0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.]. Diese Datei ist erforderlich, um die Systemstabilität zu gewährleisten.
Die Systemdatei c:\windows\system32\inetsrv\iisui.dll konnte nicht in den DLL-Cache kopiert werden. Der angegebene Fehlercode ist 0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.]. Diese Datei ist erforderlich, um die Systemstabilität zu gewährleisten.
Interessant ist, dass nach der erstmaligen Meldung der Dateischutz (auch nach Neustart) sich nicht mehr selbstständig meldete, nach Ausführung von sfc /scannow aber dennoch weiterhin dann die Meldung mit Bitte um die XP Prof. CD kam. Nach Einlegen meiner CD (und auch anderen) akzeptierte er diese aber nicht. Auch hatte ich seitdem eigentlich keine Probleme oder Einschränkungen im Betrieb (natürlich bin ich seitdem vorsichtig und habe keine Webseiten/Dienste mit sensiblen Daten aufgerufen).
Wichtig ist, dass AntiVir kurz zuvor (in zeitlicher Reihenfolge aufgelistet) einiges an Malware gefunden hat:
TR/PCK.Black.A.4042
TR/PCK.Black.A.4674
TR/Waledac.CT (in C:\WINDOWS\ld08.exe)
TR/Proxy.16384.A (in C:\WINDOWS\system32\SYS32DLL.exe)
Wichtig ist, dass ich die ersten beiden aufgrund eines Verdachts auf Falschmeldung (was Antivir ja schonmal gerne macht) ignorieren ließ, die beiden anderen dagegen ließ ich sofort löschen, da die genannten exe-Dateien m.W. dort nix zu suchen haben. Auch erwähnenswert dürfte sein, dass die erste Meldung der Windows File Protection zwischen dem Fund der letzten beiden Malwares aufkam.
Ich habe auch mal Hijackthis drüberlaufen lassen, hier das Resultat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:53:10, on 17.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
E:\UltraMon\UltraMon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\CTHELPER.EXE
E:\Creative\Prodikeys\Prodload.exe
E:\Strokeit\strokeit.exe
E:\UltraMon\UltraMonTaskbar.exe
E:\Vista Inspirat 2\RocketDock\RocketDock.exe
E:\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
E:\ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Rainlendar2\Rainlendar2.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\ACTIVE~1\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
e:\Ateksoft\WebCamera Plus\WebCamPlusSrv.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\Opera\opera.exe
E:\Mozilla Firefox\firefox.exe
E:\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Java\jre6\bin\java.exe
E:\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.google.de/"]http://www.google.de/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url="http://go.microsoft.com/fwlink/?LinkId=74005"]http://go.microsoft.com/fwlink/?LinkId=74005[/url]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - e:\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - e:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.29.0\gears.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - e:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [UltraMon] "E:\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ProdikeysAutorun] e:\Creative\Prodikeys\Prodload.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [StrokeIt] E:\Strokeit\strokeit.exe
O4 - HKCU\..\Run: [RocketDock] "E:\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [UberIcon] "E:\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AquaSoft PhotoKalender] "E:\AquaSoft\DESKTO~1\DESKTO~1.EXE" "-p|Photokalender.ads" "-t|3 Monate unregelmäßig.pwt"
O4 - HKCU\..\Run: [Rainlendar2] E:\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: RocketDock.lnk = E:\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Client auf Monitor & öffnen1 - C:\WINDOWS\web\AOpenClient.htm
O8 - Extra context menu item: Client auf Monitor & öffnen2 - C:\WINDOWS\web\AOpenClient.htm
O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an &Bluetooth - E:\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - E:\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.29.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.29.0\gears.dll
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\ACTIVE~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{94D0C3AC-FB15-4D66-BC81-11C4752E6E07}: NameServer = 128.176.0.28 128.176.0.12
O21 - SSODL: UpdateCheck - {B3E6D26D-3C58-4EC2-A5B2-635A93EA08EE} - C:\WINDOWS\system32\mstmdm.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c99d3954d332d6) (gupdate1c99d3954d332d6) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Webcamera Plus Service - Ateksoft Company Ltd. - e:\Ateksoft\WebCamera Plus\WebCamPlusSrv.exe
O23 - Service: Konfigurationsfreie drahtlose Verbindung WZCSVCEventSystem (WZCSVCEventSystem) - Unknown owner - C:\WINDOWS\system32\6to4svcl.exe (file missing)
--
End of file - 10365 bytes
Wie sollte ich jetzt weiter vorgehen? Das System läuft wie gesagt weiter problemlos, dennoch bin ich mir nicht sicher, ob mein System noch sicher ist. Neu Aufsetzen wollte ich zwar schon bald mal, aber wenn es nicht jetzt zwingend nötig ist, würde ich damit noch etwas warten (never change a running system
).Zu den genannten Trojanern konnte ich leider auch keine aussagekräftigen Ergebnisse im Web finden, natürlich habe ich Antivir in aktuellster Version und die Windows Firewall laufen, frage mich aber eben, wie ich nun weiter verfahren sollte... wäre euch daher sehr dankbar für ein paar Ratschläge und eventuelle Hilfestellungen.
Gruß
Dieser Beitrag wurde von shani bearbeitet: 17. Juli 2009 - 02:18
Nach oben
