|
Log-Analyse und Auswertung: showwnd, lsass, mHotkey Trojaner?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.12.2006, 19:18 | #1 |
| showwnd, lsass, mHotkey Trojaner? Hallo, ich habe enorme Verbindungsprobleme mit Adsl. Vbdg. bricht ständig ab. Lt. meinem ISP habe ich mir einen Trojaner eingefangen da beim Windowsbefehl "netstat" statt max. 8 bis zu 100 Zeilen auftauchen. Mein Antivirusprogramm Panda Platinium findet aber nichts. Beim aut. Scan wurde showwnd.exe angemahnt, allerdings soll dies bei einem Aldirechner OK sein wg. Chiconey Keyboard. Ich hoffe ihr könnt mir helfen. Schon mal Vielen Dank! Saludos Herry Logfile of HijackThis v1.99.1 Scan saved at 20:42:15, on 21/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe C:\WINDOWS\system32\svchost.exe C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AVENGINE.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe c:\archivos de programa\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE C:\WINDOWS\system32\spoolsv.exe c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\WINDOWS\System32\svchost.exe C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Archivos de programa\Inventel\Gateway\wlancfg.exe C:\ARCHIV~1\COMMON~1\X10\Common\x10nets.exe C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Archivos de programa\Windows Media Player\WMPNetwk.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE C:\WINDOWS\RTHDCPL.EXE C:\Archivos de programa\Home Cinema\PowerCinema\PCMService.exe C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\ElkCtrl.exe C:\Archivos de programa\Logitech\Video\CameraAssistant.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\CNYHKey.exe C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe C:\WINDOWS\system32\CmUCReye.exe C:\WINDOWS\mHotkey.exe C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\taskmgr.exe C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Herry\Mis documentos\Technik\Progs&Updates en Herry\EXE Programas instalados\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 85.49.78.64 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Showwnd] showwnd.exe O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\Inicio.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Archivos de programa\Logitech\Video\InstallHelper.exe /inspect O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Archivos de programa\Logitech\Video\CameraAssistant.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe /c " O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [AntivirusRegistration] C:\Archivos de programa\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot O4 - HKCU\..\Run: [WMPNSCFG] C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130338163843 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140522328640 O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://fotobook.foto.com/ActiveX/SpeedUploader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9A9B8261-1D54-44A5-9CD2-4CD7659B38CD}: NameServer = 192.168.0.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\archivos de programa\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Archivos de programa\Inventel\Gateway\wlancfg.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\ARCHIV~1\COMMON~1\X10\Common\x10nets.exe |
22.12.2006, 22:19 | #2 |
/// Helfer-Team | showwnd, lsass, mHotkey Trojaner? Du hälst Dich z.Z. in Spananien auf? Wenn ja, ist es o.k.
__________________Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.
__________________ |
23.12.2006, 01:42 | #3 |
| showwnd, lsass, mHotkey Trojaner? Erst mal Danke für die Info Felix1. Richtig ich bin in Spanien.
__________________F-Secure Blacklight hat nichts gefunden. Das Logfile hatte nur dies Daten: 12/23/06 00:13:21 [Info]: BlackLight Engine 1.0.47 initialized 12/23/06 00:13:21 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/23/06 00:13:21 [Note]: 7019 4 12/23/06 00:13:21 [Note]: 7005 0 12/23/06 00:13:28 [Note]: 7006 0 12/23/06 00:13:28 [Note]: 7011 3588 12/23/06 00:13:28 [Note]: 7026 0 12/23/06 00:13:28 [Note]: 7026 0 12/23/06 00:13:40 [Note]: FSRAW library version 1.7.1020 12/23/06 00:37:31 [Note]: 7007 0 Ewido/AVG hat v.a. cookies gefunden (gelöscht) und einen Dialer, s. log: AVG Anti-Spyware - Informe del análisis --------------------------------------------------------- + Creado en: 1:28:22 23/12/2006 + Resultado del análisis: C:\Documents and Settings\****\Mis documentos\Technik\Progs&Updates en Herry\EXE Programas instalados\W2000\EXE Programas instalados\Wintasks Professional 5.03 ****/wintasks.exe -> Downloader.Small : Limpios con copia de seguridad (en cuarentena). C:\Documents and Settings\****\Mis documentos\Technik\Progs&Updates en Herry\EXE Programas instalados\W2000\Wintasks Professional 5.03 ****/wintasks.exe -> Downloader.Small : Limpios con copia de seguridad (en cuarentena). C:\Documents and Settings\****\Mis documentos\Technik\Progs&Updates en Herry\EXE Programas instalados\W2000\Wintasks Professional 5.03 ****\wintasks.exe -> Downloader.Small : Limpios con copia de seguridad (en cuarentena). C:\Documents and Settings\****\Mis documentos\****\tiabuena.exe -> Not-A-Virus.BadJoke.Win32.Molesto : Omitidos. ::Fin del informe Saludos y gracias Herry |
23.12.2006, 10:19 | #4 |
/// Helfer-Team | showwnd, lsass, mHotkey Trojaner? Ich gehe davon aus, dass das Problem behoben ist. Trotzdem wäre ein Online-Scan durchaus sinnvoll. Z.B hier: Sicherheits-Check - testen Sie Ihren PC
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
Themen zu showwnd, lsass, mHotkey Trojaner? |
adobe, antivirus scan, appinit_dlls, bho, canon, cyberlink, desktop, explorer, firewall, google, hijack, hijackthis, home, install.exe, internet, internet explorer, internet security, monitor, netstat, nvidia, rundll, scan, security, software, symantec, system, trojaner, trojaner eingefangen, trojaner?, updates, vielen dank, vista, windows xp |