|
Log-Analyse und Auswertung: svchost & tcpip (Infektion?)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.05.2005, 01:59 | #1 |
| svchost & tcpip (Infektion?) Hallo, hab da so einen dummen Screensaver installiert, den ich zuvor extra mit zwei Virenscanner durchleuchtet habe und da war dann doch einiges an Aware/Spyware dabei. Jetzt bin ich mir nicht sicher, ob ich alles entfernt habe - will heissen, ich weiss nicht so recht, was ich von den Symptomen meines Rechners halten soll: Spybot, Zonealarm Antivirus und Bitdefender melden alles okay nach Scan. eScan hat mir bei einem Scan im abgesicherten Modus folgende "Schädlinge" gemeldet: Mon May 30 02:12:05 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Mon May 30 02:12:08 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!! Mon May 30 02:12:11 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Mon May 30 02:12:19 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Mon May 30 02:12:27 2005 => Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken. Mon May 30 02:12:39 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken. Mon May 30 02:12:45 2005 => Entry "HKCR\CLSID\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken. Des Weiteren habe ich folgende zwei Zonealarm-Rechte-Anforderungen, wenn ich meinen Rechner starte: Program Name Generic Host Process for Win32 Services Filename svchost.exe Program Version 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Program Size 14336 Program MD5 65a819b121eb6fdab4400ea42bdffe64 Date Modified Aug-04-2004 05:00:00 AM Connect Type Server Local Port 135 Remote IP Address 0.0.0.0 Alert Date May-29-2005 05:24:15 PM PDT Program Name Generic Host Process for Win32 Services Filename svchost.exe Program Version 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Program Size 14336 Program MD5 65a819b121eb6fdab4400ea42bdffe64 Date Modified Aug-04-2004 05:00:00 AM Connect Type Server Local Port 53 Remote IP Address 192.168.1.1 Alert Date May-29-2005 05:25:01 PM PDT Hier mein HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 02:38:28, on 30.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\system32\svchost.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\ZoneLabs\isafe.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\HHVcdV7Sys\VC7SecS.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Raxco\PerfectDisk\PDSched.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\HHVcdV7Sys\VC7Play.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Centrino HC\Centrino_HC.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\MultiRes\MultiRes.exe C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE C:\Programme\Express ClickYes\ClickYes.exe C:\Programme\On Hand\OnHand.exe C:\Programme\CronoSoft\Quick Hide Windows\qhw.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\palmOne\HOTSYNC.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Opera\Opera.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\ntvdm.exe C:\PROGRA~1\MWAV\MWAVSCAN.COM C:\PROGRA~1\MWAV\kavss.exe C:\Programme\totalcmd\TOTALCMD.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [VC7Player] C:\Programme\HHVcdV7Sys\VC7Play.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CentrinoHardwareControl] "C:\Programme\Centrino HC\Centrino_HC.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [MultiRes] C:\Programme\MultiRes\MultiRes.exe O4 - HKLM\..\Run: [AtiPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE O4 - HKCU\..\Run: [Express ClickYes] C:\Programme\Express ClickYes\ClickYes.exe O4 - HKCU\..\Run: [On Hand] "C:\Programme\On Hand\OnHand.exe" O4 - HKCU\..\Run: [Quick Hide Windows] C:\Programme\CronoSoft\Quick Hide Windows\qhw.exe -s O4 - Startup: HotSync Manager.lnk = C:\Programme\palmOne\HOTSYNC.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Save with Download Manager... - file://C:\Programme\J River\Media Center 11\DMDownload.htm O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - h**p://download.zonelabs.com/bin/free/cm/ICSCM.cab[/url] O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - h**p://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D67E0A25-45B3-456F-8F84-43E3C6796A9F}: NameServer = 192.168.121.252,192.168.121.253 O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Sorgen machen mir vor allem die beiden ZoneAlarm-Rechte-Anforderungen (die ich stets abgelehnt habe, wie auch alle Rechteanforderungen der Spyware die ich mit dem Screensaver installiert hatte) und der Eintrag O17 - HKLM\System\CCS\Services\Tcpip\..\{D67E0A25-45B3-456F-8F84-43E3C6796A9F}: NameServer = 192.168.121.252,192.168.121.253 Würd mich sehr freuen, wenn mal jemand drüber schauen kann, der sich auskennt - bin mit meinen Kenntnisses leider an Ende. Danke & viele Grüße, deltazero Geändert von deltazero (30.05.2005 um 11:15 Uhr) |
Themen zu svchost & tcpip (Infektion?) |
abgesicherten modus, adobe, adobe reader, antispyware, antivirus, bho, computer, defender, dll, drivers, excel, explorer, file missing, hijack, hijackthis, hijackthis log, infektion?, internet, internet explorer, launch, media center, monitor, nicht sicher, object, opera, registry, rundll, saver, scan, screensaver, senden, software, svchost, system, tuneup utilities, windows, windows xp, windows\system32\drivers |