Hi, hatte vor kurzem ne menge Ungemüse drauf. Die dateien sind jetzt zwar weg, aber ab und zu motzt bei mir noch Spybot. Außerdem meldet Sygate, dass irgendetwas aus svchost.exe auf irgendwelche seiten will, die rein gar nichts mit microsoft oder so zu tun haben (also ha ich auf jeden Fall noch nie was von gehört, hab jetzt leider kein Beispiel da).
Fände es cool, wenn sich das mal jemand anschauen könnte :-)


Logfile of HijackThis v1.99.1
Scan saved at 23:19:08, on 07.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\apps\Apache\bin\httpd.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Programme\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\apps\Apache\bin\httpd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AutoHotkey\AutoHotkey.exe
C:\Programme\CpuIdle\cpuidle.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\*****\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.ultraedit.com/toolbar/installed.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: UltraEdit Toolbar - {4E7BD74F-2B8D-469E-85AA-FD60BB9AAE22} - C:\Programme\ue_toolbar\ue_toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: UltraEdit Toolbar - {4E7BD74F-2B8D-469E-85AA-FD60BB9AAE22} - C:\Programme\ue_toolbar\ue_toolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: ac'tivAid.lnk = C:\Programme\ac'tivAid\ac'tivAid.ahk
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - C:\apps\Apache\bin\httpd.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hi,

prüfe bitte

Zitat:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

bei virustotal.com oder jotti. Poste die vollständige Auswertung incl. Dateigröße etc.

Gruß

edit: Korrektur, nicht den Registryeintrag, sondern die Datei C:\WINDOWS\system\smss.exe /w

okay:

Server response
Results of a file scan
This is a report processed by VirusTotal on 09/08/2006 at 00:18:12 (CET) after scanning the file "smss.exe" file.
< td>5.9.8.207
Antivirus
Version
Update
Result

AntiVir
7.1.1.14
09.07.2006
HEUR/Malware

Authentium
4.93.8
09.07.2006
no virus found

Avast
4.7.844.0
09.07.2006
no virus found

AVG
386
09.07.2006
no virus found

BitDefender
7.2
09.07.2006
no virus found

CAT-QuickHeal
8.00
09.07.2006
no virus found

ClamAV
devel-20060426
09.07.2006
no virus found

DrWeb
4.33
09.07.2006
Trojan.Spambot

eTrust-InoculateIT
23.72.118
09.07.2006
no virus found

eTrust-Vet
30.3.3066
09.07.2006
no virus found

Ewido
4.0
09.05.2006
no virus found

Forti net
2.77.0.0
09.07.2006
no virus found

F-Prot
3.16f
09.07.2006
no virus found

F-Prot4
4.2.1.29
09.07.2006
no virus found

Ikarus
0.2.65.0
09.07.2006
no virus found

Kaspersky
4.0.2.24
09.07.2006
Trojan-Proxy.Win32.Horst.hl

McAfee
4847
09.07.2006
BackDoor-CMQ.dldr

Microsoft
1.1560
09.07.2006
no virus found

NOD32v2
1.1743
09.07.2006
probably a variant of Win32/TrojanProxy.Horst.HD

Norman
5.90.23
09.07.2006
no virus found

Panda
9.0.0.4
09.07.2006
Trj/Rizalof.HR

Sophos
4.09.0
09.07.2006
Troj/Horst-Gen

Symantec
8.0
09.07.2006
no virus found

TheHacker
09.07.2006
Trojan/Horst.b2

UNA
1.83
09.07.2006
no virus found

VBA32
3.11.1
09.07.2006
no virus found

VirusBuster
4.3.7:9
09.07.2006
Worm.Medbot.Gen.3


okay, scheint was zu sein.... was soll ich jetzt tun?

Offenbar hast du eine recht neue Variante der bot-Familie erwischt. Mein Rat: Neuaufsetzen. Die Schadroutine kennt niemand genau, daher auch nicht, was das Ding mit deinem PC anstellt/angestellt hat.

Folge dieser Anleitung, sie erklärt auch, warum Neuaufsetzen bei Backdoorbefall der einzig sinnvolle Weg ist. Sorry.

Gruß

Ach verdammt, ich hatte das System grad erst neu aufgesetzt
Kann es sein, dass deswegen mein PC regelmäßig abstürzt? Bzw dass das irgendwie dafür sorgt, dass mein PC überhitzt? Hab das Problem nämlich auch seit kurzem...
Gruß C.S.
P.S. Vielen Dank für die Hilfe!

Du, keine Ahnung . Kann damit zusammen hängen, muss nicht. Ich weiß nicht, was das Ding auf dem PC alles anstellt. Setze neu auf und befolge die Hinweise der Anleitung. Dann solltest du so kurz nach dem Neuinstallieren auch keine C:\WINDOWS\system\smss.exe /w auf dem PC haben.

Besteht das Problem der Überhitzung weiterhin, frage mit möglichst genauer Problembeschreibungim Board nach.

Gruß

Hoffentlich kackt mir das ding net während der isntallation ab