Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: showwnd, lsass, mHotkey Trojaner?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 22.12.2006, 19:18   #1
Herry
 
showwnd, lsass, mHotkey Trojaner? - Standard

showwnd, lsass, mHotkey Trojaner?



Hallo, ich habe enorme Verbindungsprobleme mit Adsl. Vbdg. bricht ständig ab. Lt. meinem ISP habe ich mir einen Trojaner eingefangen da beim Windowsbefehl "netstat" statt max. 8 bis zu 100 Zeilen auftauchen. Mein Antivirusprogramm Panda Platinium findet aber nichts.
Beim aut. Scan wurde showwnd.exe angemahnt, allerdings soll dies bei einem Aldirechner OK sein wg. Chiconey Keyboard.

Ich hoffe ihr könnt mir helfen. Schon mal Vielen Dank!
Saludos
Herry

Logfile of HijackThis v1.99.1
Scan saved at 20:42:15, on 21/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\archivos de programa\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe
C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Inventel\Gateway\wlancfg.exe
C:\ARCHIV~1\COMMON~1\X10\Common\x10nets.exe
C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Archivos de programa\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Home Cinema\PowerCinema\PCMService.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\Archivos de programa\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\CNYHKey.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\WINDOWS\mHotkey.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Herry\Mis documentos\Technik\Progs&Updates en Herry\EXE Programas instalados\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 85.49.78.64
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Showwnd] showwnd.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Archivos de programa\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Archivos de programa\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Archivos de programa\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [WMPNSCFG] C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130338163843
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140522328640
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://fotobook.foto.com/ActiveX/SpeedUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A9B8261-1D54-44A5-9CD2-4CD7659B38CD}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\archivos de programa\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Archivos de programa\Inventel\Gateway\wlancfg.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\ARCHIV~1\COMMON~1\X10\Common\x10nets.exe

Alt 22.12.2006, 22:19   #2
felix1
/// Helfer-Team
 
showwnd, lsass, mHotkey Trojaner? - Standard

showwnd, lsass, mHotkey Trojaner?



Du hälst Dich z.Z. in Spananien auf? Wenn ja, ist es o.k.
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.
__________________

__________________

Alt 23.12.2006, 01:42   #3
Herry
 
showwnd, lsass, mHotkey Trojaner? - Standard

showwnd, lsass, mHotkey Trojaner?



Erst mal Danke für die Info Felix1. Richtig ich bin in Spanien.

F-Secure Blacklight hat nichts gefunden. Das Logfile hatte nur dies Daten:
12/23/06 00:13:21 [Info]: BlackLight Engine 1.0.47 initialized
12/23/06 00:13:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/23/06 00:13:21 [Note]: 7019 4
12/23/06 00:13:21 [Note]: 7005 0
12/23/06 00:13:28 [Note]: 7006 0
12/23/06 00:13:28 [Note]: 7011 3588
12/23/06 00:13:28 [Note]: 7026 0
12/23/06 00:13:28 [Note]: 7026 0
12/23/06 00:13:40 [Note]: FSRAW library version 1.7.1020
12/23/06 00:37:31 [Note]: 7007 0

Ewido/AVG hat v.a. cookies gefunden (gelöscht) und einen Dialer, s. log:
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------

+ Creado en: 1:28:22 23/12/2006

+ Resultado del análisis:



C:\Documents and Settings\****\Mis documentos\Technik\Progs&Updates en Herry\EXE Programas instalados\W2000\EXE Programas instalados\Wintasks Professional 5.03 ****/wintasks.exe -> Downloader.Small : Limpios con copia de seguridad (en cuarentena).
C:\Documents and Settings\****\Mis documentos\Technik\Progs&Updates en Herry\EXE Programas instalados\W2000\Wintasks Professional 5.03 ****/wintasks.exe -> Downloader.Small : Limpios con copia de seguridad (en cuarentena).
C:\Documents and Settings\****\Mis documentos\Technik\Progs&Updates en Herry\EXE Programas instalados\W2000\Wintasks Professional 5.03 ****\wintasks.exe -> Downloader.Small : Limpios con copia de seguridad (en cuarentena).
C:\Documents and Settings\****\Mis documentos\****\tiabuena.exe -> Not-A-Virus.BadJoke.Win32.Molesto : Omitidos.

::Fin del informe

Saludos y gracias
Herry
__________________

Alt 23.12.2006, 10:19   #4
felix1
/// Helfer-Team
 
showwnd, lsass, mHotkey Trojaner? - Standard

showwnd, lsass, mHotkey Trojaner?



Ich gehe davon aus, dass das Problem behoben ist.
Trotzdem wäre ein Online-Scan durchaus sinnvoll. Z.B hier:
Sicherheits-Check - testen Sie Ihren PC
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Antwort

Themen zu showwnd, lsass, mHotkey Trojaner?
adobe, antivirus scan, appinit_dlls, bho, canon, cyberlink, desktop, explorer, firewall, google, hijack, hijackthis, home, install.exe, internet, internet explorer, internet security, monitor, netstat, nvidia, rundll, scan, security, software, symantec, system, trojaner, trojaner eingefangen, trojaner?, updates, vielen dank, vista, windows xp




Ähnliche Themen: showwnd, lsass, mHotkey Trojaner?


  1. GVU Trojaner (cfmon.lnk + lsass.exe)
    Log-Analyse und Auswertung - 12.12.2012 (17)
  2. ctfmon.lnk lsass.exe BKA-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 23.11.2012 (20)
  3. GVU-Trojaner / lsass.exe / Vista 32bit
    Log-Analyse und Auswertung - 07.11.2012 (5)
  4. Bei Systemstart Trojaner mit Webcam (lsass.exe / ctfmon.lnk / Trojan.Delf)
    Plagegeister aller Art und deren Bekämpfung - 19.10.2012 (1)
  5. Isass.exe /lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 17.03.2008 (8)
  6. lsass.exe
    Mülltonne - 18.01.2008 (3)
  7. Trojaner : showwnd.exe
    Plagegeister aller Art und deren Bekämpfung - 09.09.2007 (1)
  8. lsass.exe - Trojaner?
    Log-Analyse und Auswertung - 18.04.2007 (2)
  9. lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 13.11.2006 (3)
  10. showwnd wirklich ein Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 05.06.2006 (6)
  11. Systemfehler lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 11.04.2006 (2)
  12. lsass.exe
    Alles rund um Windows - 06.10.2005 (2)
  13. lsass... trojaner oder wurm??? hab schon logfile gepostet
    Plagegeister aller Art und deren Bekämpfung - 03.07.2005 (1)
  14. lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 20.01.2005 (1)
  15. lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 13.01.2005 (1)
  16. lsass.exe
    Log-Analyse und Auswertung - 31.08.2004 (1)
  17. lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 17.06.2004 (3)

Zum Thema showwnd, lsass, mHotkey Trojaner? - Hallo, ich habe enorme Verbindungsprobleme mit Adsl. Vbdg. bricht ständig ab. Lt. meinem ISP habe ich mir einen Trojaner eingefangen da beim Windowsbefehl "netstat" statt max. 8 bis zu 100 - showwnd, lsass, mHotkey Trojaner?...
Archiv
Du betrachtest: showwnd, lsass, mHotkey Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.