Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: svchost & tcpip (Infektion?)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 30.05.2005, 01:59   #1
deltazero
 
svchost & tcpip (Infektion?) - Standard

svchost & tcpip (Infektion?)



Hallo,

hab da so einen dummen Screensaver installiert, den ich zuvor extra mit zwei Virenscanner durchleuchtet habe und da war dann doch einiges an Aware/Spyware dabei. Jetzt bin ich mir nicht sicher, ob ich alles entfernt habe - will heissen, ich weiss nicht so recht, was ich von den Symptomen meines Rechners halten soll: Spybot, Zonealarm Antivirus und Bitdefender melden alles okay nach Scan.

eScan hat mir bei einem Scan im abgesicherten Modus folgende "Schädlinge" gemeldet:

Mon May 30 02:12:05 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon May 30 02:12:08 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Mon May 30 02:12:11 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon May 30 02:12:19 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon May 30 02:12:27 2005 => Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.

Mon May 30 02:12:39 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.

Mon May 30 02:12:45 2005 => Entry "HKCR\CLSID\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.

Des Weiteren habe ich folgende zwei Zonealarm-Rechte-Anforderungen, wenn ich meinen Rechner starte:

Program Name Generic Host Process for Win32 Services
Filename svchost.exe
Program Version 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Program Size 14336
Program MD5 65a819b121eb6fdab4400ea42bdffe64
Date Modified Aug-04-2004 05:00:00 AM
Connect Type Server
Local Port 135
Remote IP Address 0.0.0.0
Alert Date May-29-2005 05:24:15 PM PDT

Program Name Generic Host Process for Win32 Services
Filename svchost.exe
Program Version 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Program Size 14336
Program MD5 65a819b121eb6fdab4400ea42bdffe64
Date Modified Aug-04-2004 05:00:00 AM
Connect Type Server
Local Port 53
Remote IP Address 192.168.1.1
Alert Date May-29-2005 05:25:01 PM PDT

Hier mein HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 02:38:28, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\HHVcdV7Sys\VC7Play.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Centrino HC\Centrino_HC.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\MultiRes\MultiRes.exe
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\Programme\Express ClickYes\ClickYes.exe
C:\Programme\On Hand\OnHand.exe
C:\Programme\CronoSoft\Quick Hide Windows\qhw.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\palmOne\HOTSYNC.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\MWAV\MWAVSCAN.COM
C:\PROGRA~1\MWAV\kavss.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [VC7Player] C:\Programme\HHVcdV7Sys\VC7Play.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CentrinoHardwareControl] "C:\Programme\Centrino HC\Centrino_HC.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MultiRes] C:\Programme\MultiRes\MultiRes.exe
O4 - HKLM\..\Run: [AtiPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKCU\..\Run: [Express ClickYes] C:\Programme\Express ClickYes\ClickYes.exe
O4 - HKCU\..\Run: [On Hand] "C:\Programme\On Hand\OnHand.exe"
O4 - HKCU\..\Run: [Quick Hide Windows] C:\Programme\CronoSoft\Quick Hide Windows\qhw.exe -s
O4 - Startup: HotSync Manager.lnk = C:\Programme\palmOne\HOTSYNC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save with Download Manager... - file://C:\Programme\J River\Media Center 11\DMDownload.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - h**p://download.zonelabs.com/bin/free/cm/ICSCM.cab[/url]
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - h**p://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D67E0A25-45B3-456F-8F84-43E3C6796A9F}: NameServer = 192.168.121.252,192.168.121.253
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Sorgen machen mir vor allem die beiden ZoneAlarm-Rechte-Anforderungen (die ich stets abgelehnt habe, wie auch alle Rechteanforderungen der Spyware die ich mit dem Screensaver installiert hatte) und der Eintrag O17 - HKLM\System\CCS\Services\Tcpip\..\{D67E0A25-45B3-456F-8F84-43E3C6796A9F}: NameServer = 192.168.121.252,192.168.121.253

Würd mich sehr freuen, wenn mal jemand drüber schauen kann, der sich auskennt - bin mit meinen Kenntnisses leider an Ende.

Danke & viele Grüße,

deltazero

Geändert von deltazero (30.05.2005 um 11:15 Uhr)

Antwort

Themen zu svchost & tcpip (Infektion?)
abgesicherten modus, adobe, adobe reader, antispyware, antivirus, bho, computer, defender, dll, drivers, excel, explorer, file missing, hijack, hijackthis, hijackthis log, infektion?, internet, internet explorer, launch, media center, monitor, nicht sicher, object, opera, registry, rundll, saver, scan, screensaver, senden, software, svchost, system, tuneup utilities, windows, windows xp, windows\system32\drivers




Ähnliche Themen: svchost & tcpip (Infektion?)


  1. Prozesse conhost.exe svchost.exe reg.exe mehrmals vorhanden. Verdacht auf Infektion
    Log-Analyse und Auswertung - 08.11.2015 (4)
  2. HKLM\System\CCS\Services\Tcpip\... - Eintrag kommt immer wieder!
    Log-Analyse und Auswertung - 28.10.2015 (17)
  3. Trojaner "c:\windows\system32\svchost.exe "Avast - Infektion geblockt"
    Log-Analyse und Auswertung - 07.06.2015 (16)
  4. AVAST meldet Infektion - SVCHOST.exe und SWUpdate.exe wird blockiert
    Log-Analyse und Auswertung - 06.05.2015 (7)
  5. Windows 7 (Mal:Url) Epictory.com Infektion von svchost.exe blockiert.
    Log-Analyse und Auswertung - 01.05.2015 (9)
  6. c:\windows\system32\svchost.exe "Avast - Infektion geblockt"
    Log-Analyse und Auswertung - 07.03.2015 (11)
  7. Infektion: URL Mal - Prozess: Svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 03.03.2015 (27)
  8. Window 7: Bluescreen (Driver_irql_not_less_or_equal tcpip.sys)
    Plagegeister aller Art und deren Bekämpfung - 23.10.2014 (7)
  9. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  10. svchost.exe ( Svchost Prozess Analyser)
    Log-Analyse und Auswertung - 23.09.2011 (7)
  11. AVAST meldet Mal-Infektion bei svchost.exe
    Log-Analyse und Auswertung - 20.04.2011 (23)
  12. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  13. Probleme mit HKLM\System\CCS\Services\Tcpip\
    Log-Analyse und Auswertung - 24.08.2006 (1)
  14. unbekannter Servereintrag unter HKLM\System\CCS\Services\Tcpip...
    Log-Analyse und Auswertung - 30.03.2006 (5)
  15. Hilfe, soll ich das fixen? HKLM\System\CCS\Services\Tcpip\..
    Log-Analyse und Auswertung - 20.01.2006 (1)
  16. svchost.exe & tcpip (Infektion?)
    Log-Analyse und Auswertung - 31.05.2005 (0)
  17. Was ist das ??? HKLM\System\CCS\Services\Tcpip
    Log-Analyse und Auswertung - 21.01.2005 (2)

Zum Thema svchost & tcpip (Infektion?) - Hallo, hab da so einen dummen Screensaver installiert, den ich zuvor extra mit zwei Virenscanner durchleuchtet habe und da war dann doch einiges an Aware/Spyware dabei. Jetzt bin ich mir - svchost & tcpip (Infektion?)...
Archiv
Du betrachtest: svchost & tcpip (Infektion?) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.