Habe Ein Ungutes Gefühl

charly-spain · 08.03.2006, 20:06

HI, ICH HABE DA EIN UNGUTES GEFÜHL. ES SCHALTET SICH DIE FIREWALL SELBSTSTÄNDIG AB, KÖNNT IHR MAL NEN bLICK DRAUFWERFEN? DANKE

Logfile of HijackThis v1.99.1
Scan saved at 19:12:57, on 08/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Apoint2K\Apoint.exe
E:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
E:\ARCHIV~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\Archivos de programa\TOSHIBA\Touch and Launch\PadExe.exe
E:\Archivos de Programa\eMule\emule.exe
C:\Archivos de programa\XemiComputers\Active Desktop Calendar\ADC.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\CHARLY\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://porttest.emule-project.net/connectiontest.php?tcpport=4662&udpport=4672&lang=1031
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F3 - REG:win.ini: load=????
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O1 - Hosts: AmsServer
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Archivos de Programa\ADOBE 7\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B7EB14F9-73FA-4C01-93D1-2CF5B878133C} - (no file)
O2 - BHO: (no name) - {F9163284-3826-4F69-A672-B6F5340F57A1} - C:\WINDOWS\system32\srclifnt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Translator - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - E:\Archivos de Programa\PROMPT PROF\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [HWSetup] C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Archivos de programa\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zone Labs Client] E:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Archivos de programa\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\ARCHIV~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Translate - E:\Archivos de Programa\PROMPT PROF\PRMTIE\translat.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - E:\Archivos de Programa\PROMPT PROF\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Translate - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - E:\Archivos de Programa\PROMPT PROF\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - E:\Archivos de Programa\PROMPT PROF\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Customize translation options - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - E:\Archivos de Programa\PROMPT PROF\PRMTIE\options.htm
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140272632937
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Unknown owner - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Unknown owner - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - E:\Archivos de Programa\SiSoftware Sandra Professional 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Archivos de Programa\SiSoftware Sandra Professional 2005.SR3\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WinHosts - Unknown owner - C:\WINDOWS\system32\WinHosts.exe (file missing)

felix1 · 08.03.2006, 20:30

Zitat:

Zitat von charly-spain

HI, ICH HABE DA EIN UNGUTES GEFÜHL. ES SCHALTET SICH DIE FIREWALL SELBSTSTÄNDIG AB, KÖNNT IHR MAL NEN bLICK DRAUFWERFEN? DANKE

Ich auch, weil:
E:\Archivos de Programa\eMule\emule.exe
O23 - Service: WinHosts - Unknown owner - C:\WINDOWS\system32\WinHosts.exe (file missing)
Deshalb mache den escan: http://www.trojaner-board.de/showthread.php?t=17492.

charly-spain · 09.03.2006, 01:56

ICH HABE DEN ESCAN INSTALIERT.
ICH HABE "ZONE ALARM LABS SECURITY INSTALIERT, KANN DAS PROBLEME MIT DEM ANTIVIRUS BZW. MIT DEM ESCAN GEBEN?

BataAlexander · 09.03.2006, 02:05

Hallo,

nein, es sollten keine Probleme auftreten. Führe eScan wie beschrieben aus und poste den Inhalt der C:\eScan_neu.txt hier.

Gruß

Schrulli

charly-spain · 09.03.2006, 03:33

HELLO, MIR IST JETZT SCHON ZWEI MAL DER RECHNER ABGESTÜRZT. BEIM SCANEN(CA. NACH 25 MIN.) WURDE DIE SEITE BLAU UND DANN WAR ER WEG. IST DAS NORMAL?

BataAlexander · 09.03.2006, 03:38

Hallo,

nur wenn der Rechner das im Betrieb auch macht!
Lass mal die von felix1 angesprochene Datei:
C:\WINDOWS\system32\WinHosts.exe

online bei http://virusscan.jotti.org/de/ scannen.
Vielleicht können wir so zumindest mal was sehen.

Gruß

Schrulli

charly-spain · 09.03.2006, 04:42

hi, also jetzt ist er wieder abgest¨rz. diesmal hat er wenigstens ca.40min. ausgehalten.
die dat " C:\WINDOWS\system32\WinHosts.exe " ist nicht voranden. ich schicke dir das protokol von vor dem absturz, vieleicht hilft dir das ja weiter und du siehst was. bin aber schon wieder am scanen, blöd das ich nach jedem absturz wieder von vorne anfangen muss. tschau

charly-spain · 09.03.2006, 05:01

beim schicken des protokoles gibst eine meldung error

charly-spain · 09.03.2006, 12:50

HI, ALSO ICH HABE FOLGENDE PROBLEME.
DIE DATEI "C:\WINDOWS\system32\WinHosts.exe" EXISTIERT NICHT.
BEIM SCHICKEN DES PROTOKOLLS KOMMT DIE MELDUNG, DAS ICH DIE GRÖSSE DER DATEI VERRINGERN MUSS.(WEISS NICHT WIE ICH DAS MACHEN SOLL.)
UND BEIM SCANEN BRICHT DAS SISTEM ZUSAMMEN UND ER REBOOTET. WAS KANN ICH MACHEN?

09.03.2006, 02:05	#4
BataAlexander > MalwareDB	Habe Ein Ungutes Gefühl Hallo, nein, es sollten keine Probleme auftreten. Führe eScan wie beschrieben aus und poste den Inhalt der C:\eScan_neu.txt hier. Gruß Schrulli __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

09.03.2006, 03:38	#6
BataAlexander > MalwareDB	Habe Ein Ungutes Gefühl Hallo, nur wenn der Rechner das im Betrieb auch macht! Lass mal die von felix1 angesprochene Datei: C:\WINDOWS\system32\WinHosts.exe online bei http://virusscan.jotti.org/de/ scannen. Vielleicht können wir so zumindest mal was sehen. Gruß Schrulli __________________ --> Habe Ein Ungutes Gefühl

Habe Ein Ungutes Gefühl

Log-Analyse und Auswertung: Habe Ein Ungutes Gefühl