hmm.. Ich brauche Hilfe..bitte helfen!

Asko1987 · 20.09.2007, 01:28

Hallo erstmals!

Ich kenne mich mit Viren,Trojaner,Backdoors,etc. überhaupts nicht aus.
Seit dem ich aus dem Urlaub zurück bin, stimmt was mit meinem Computer nicht.

Er läuft nicht mehr so schnell wie früher und was ich auch noch bemerkt habe ist, dass das Antivirusprogramm (eTrust) sich beim Windowsstart automatisch ausschaltet (und es sich nicht einschalten lässt). Das selbe Problem ist mit dem Windows Task Manager (ich drücke STRG+ALT+ENTF, es kommt der Taskmanager und nach einer sekunde ist er wieder weg).

Als ich in Hier im Forum die Anleitung zum HJT gelesen habe und das Programm install. wollte ist die erste Fehlermeldung gekommen und dann war das Programm wieder weg (im abgesicherten Modus, lies es sich schließlich install.)

und das ist das Ergebnis (ich weiß nicht, ob ich alles richtig gemacht habe):

Logfile of HijackThis v1.99.1
Scan saved at 02:08:26, on 20.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1189690105281
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--------------------

bitte helfen! Danke für jede Hilfe!

mmk · 20.09.2007, 03:30

Uff - das lässt fast gar keinen anderen Schluss als eine "ernsthafte" Infektion zu. In solchen (und anderen) Verdachts- bzw. Infektionsfällen würde ich am liebsten von einer Diagnose-CD aus booten, aber so etwas hast Du sehr wahrscheinlich nicht. Grund: Die Überprüfungen würden dann unabhängig vom zu prüfenden System aus laufen - etwaige Schädlinge könnten somit die Prüfprogramme nicht aktiv störend beeinflussen.

Was passiert im normalen Modus, wenn Du die hijackthis.exe z.B. in pruefung.com umbenennst? Schließt sich das Programm dann beim Öffnen ebenso schnell wie bei Deinen vorigen Versuchen?

PS: Willkommen an Board!

mmk · 20.09.2007, 03:39

Nachtrag: Setze bitte ergänzend diese Schritte um:

Silent Runners - Adware? Disinfect, don't reformat!
-> Poste das silentrunners-LogFile.

Datfindbat
-> Poste bitte die sechs LogFiles der letzten 60 Tage.

Asko1987 · 20.09.2007, 03:39

Zitat:

Zitat von mmk

Uff - das lässt fast gar keinen anderen Schluss als eine "ernsthafte" Infektion zu. In solchen (und anderen) Verdachts- bzw. Infektionsfällen würde ich am liebsten von einer Diagnose-CD aus booten, aber so etwas hast Du sehr wahrscheinlich nicht. Grund: Die Überprüfungen würden dann unabhängig vom zu prüfenden System aus laufen - etwaige Schädlinge könnten somit die Prüfprogramme nicht aktiv störend beeinflussen.

Was passiert im normalen Modus, wenn Du die hijackthis.exe z.B. in pruefung.com umbenennst? Schließt sich das Programm dann beim Öffnen ebenso schnell wie bei Deinen vorigen Versuchen?

PS: Willkommen an Board!

Danke für die rasche Antwort!

Auf die Frage zurückzukommen, nein, es schließt sich nicht mehr! ich habe außerdem noch "Norten Security Scan" und dieser funktioniert auch.

zeigt mir 3 Viren auf, zwei von denen sind auf sicher eingestuft worden und einer auf unsicher.

Hier was der Norten Security Scan mir ausgespuckt hat :

Prüfungsstatus:

Prüfung: 1

Prüfung starten: 09/19/07 20:45:28

Prüfziele: Laufende Prozesse;Entry-Points;C:\;D:\;E:\

Virendefinitionen: 09/18/07

Anzahl der Prüfungen: 301817

Gefundene Risiken: 3

Behobene Risiken: 0

Nicht behobene Risiken: 3

Prüfzeit: 5692 Sek.

Vollständige Prüfung: 09/19/07 22:20:21

Behobene Bedrohungen:

Nicht behobene Bedrohungen:

Tracking Cookie

Virus-ID: 4294909925

Risiko: Niedrig

Kategorien: Unbekannt

Status: Unbehandelt

-----------

Cookie:

Cookie:**@ad.yieldmanager.com/

Cookie:**@softpedia.uk.intellitxt.com/

Backdoor.Trojan

Virus-ID: 7586

Risiko: Hoch

Kategorien: Virus

Status: Unbehandelt

-----------

Verarbeiten:

c:\windows\system32\svchoslt.exe

Infektion:

c:\windows\system32\svchoslt.exe

Browser-Cache

Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{D8D29E0E-CF0B-B600-B460-B8BC86A61010}

HKEY_USERS\S-1-5-21-1659004503-1123561945-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run->Windows Update

Ircfast

Virus-ID: 4294907118

Risiko: Niedrig

Kategorien: Sicherheitsrisiko

Status: Unbehandelt

-----------

Infektion:

c:\dokumente und einstellungen\ **\desktop\downloads\programme\installer-12119-32-windows-live-messenger-8-1-0178-deutsch.exe

Registrierung:

HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main->Start Page:h**p://securityresponse.symantec.com/avcenter/fix_homepage

HKEY_USERS\S-1-5-21-1659004503-1123561945-839522115-1004\Software\Microsoft\Internet Explorer\Main->Start Page:http://securityresponse.symantec.com/avcenter/fix_homepage

HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main->Start Page:h**p://securityresponse.symantec.com/avcenter/fix_homepage

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main->Start Page:h**p://securityresponse.symantec.com/avcenter/fix_homepage

Browser-Cache

--------------------------------------------------------------------------

mmk · 20.09.2007, 03:42

Code:

ATTFilter

c:\windows\system32\svchoslt.exe

Gelingt es Dir, diese Datei als Anhang einer Mail an diese hier hinterlegte Mailadresse zu senden?

-> sicher-ins-netz.info - E-Mail-Adresse für Malware-Samples

Wenn Du dich beeilst, kann ich sie mir gleich noch anschauen.

mmk · 20.09.2007, 03:45

Zitat:

Auf die Frage zurückzukommen, nein, es schließt sich nicht mehr!

Dann erstell damit ein neues LogFile und poste es hier.

Code:

ATTFilter

c:\dokumente und einstellungen\ **\desktop\downloads\programme\installer-12119-32-windows-live-messenger-8-1-0178-deutsch.exe

Aus welcher Quelle hattest Du diese Datei geladen?

Asko1987 · 20.09.2007, 03:45

Zitat:

Zitat von mmk

-> Poste das silentrunners-LogFile.

[url=http://virus-protect.org/datfindbat.html]

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Steam" = ""c:\programme\valve\steam\steam.exe" -silent" ["Valve Corporation"]
"CMS_RSChecker" = ""C:\Dokumente und Einstellungen\AsKo\Desktop\RSFAN.exe" -m" [file not found]
"AnyDVD" = "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" ["SlySoft, Inc."]
"Windows Update" = "C:\WINDOWS\system32\svchoslt.exe" [null data]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"" ["Nero AG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"DirectX For Microsoft® Windows" = "C:\WINDOWS\system32\fservice.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"Dit" = "Dit.exe" [null data]
"LVCOMS" = "C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE" ["Logitech Inc."]
"LogitechGalleryRepair" = "C:\Programme\Logitech\ImageStudio\ISStart.exe" ["Logitech Inc."]
"LogitechImageStudioTray" = "C:\Programme\Logitech\ImageStudio\LogiTray.exe" ["Logitech Inc."]
"Realtime Monitor" = "C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s" ["Computer Associates International, Inc."]
"Rapget" = "C:\Dokumente und Einstellungen\****\Desktop\rapidshare\Rapget1.11\rapget.exe" [file not found]
"PCMService" = ""C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"" [empty string]
"NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" ["Nero AG"]
"NBKeyScan" = ""C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"" ["Nero AG"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{D8D29E0E-CF0B-B600-B460-B8BC86A61010}\(Default) = "shar"
\StubPath = "C:\WINDOWS\system32\svchoslt.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{B446400D-0030-457b-8F64-422A19605186}" = "Logitech Gallery"
-> {HKLM...CLSID} = "Logitech Gallery"
\InProcServer32\(Default) = "C:\Programme\Logitech\ImageStudio\NameSpc.dll" ["Logitech Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}" = "NeroCoverEd Live Icons"
-> {HKLM...CLSID} = "NeroCoverEdLiveIcons Class"
\InProcServer32\(Default) = "C:\Programme\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Cover Designer\(Default) = "{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}"
-> {HKLM...CLSID} = "NeroCoverEdContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Startup items in "AsKo" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]

Enabled Scheduled Tasks:
------------------------

"Norton Security Scan" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
eTrust Antivirus Job Server, InoTask, ""C:\Programme\CA\eTrust Antivirus\InoTask.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus Realtime Server, InoRT, ""C:\Programme\CA\eTrust Antivirus\InoRT.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus RPC Server, InoRPC, ""C:\Programme\CA\eTrust Antivirus\InoRpc.exe"" ["Computer Associates International, Inc."]
Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, ""C:\Programme\MSN Messenger\usnsvc.exe"" [MS]
Nero BackItUp Scheduler 3, Nero BackItUp Scheduler 3, "C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe" ["Nero AG"]
NMIndexingService, NMIndexingService, ""C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe"" ["Nero AG"]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS]

---------- (launch time: 2007-09-20 04:41:15)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 61 seconds, including 12 seconds for message boxes)

Asko1987 · 20.09.2007, 03:49

Zitat:

Zitat von mmk

Code:

ATTFilter

c:\windows\system32\svchoslt.exe

Gelingt es Dir, diese Datei als Anhang einer Mail an diese hier hinterlegte Mailadresse zu senden?

-> sicher-ins-netz.info - E-Mail-Adresse für Malware-Samples

Wenn Du dich beeilst, kann ich sie mir gleich noch anschauen.

ich verwende Hotmail.com und es erlaubt mir die datei nicht raufzuladen, soll ich sie verpacken?

und den msn-messanger habe ich mir über google runtergeladen, weiß nicht mehr von welcher quelle genau ...

Asko1987 · 20.09.2007, 03:51

Zitat:

Zitat von mmk

Dann erstell damit ein neues LogFile und poste es hier.

Logfile of HijackThis v1.99.1
Scan saved at 04:50:25, on 20-Sep-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchoslt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Logitech\ImageStudio\LowLight.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Hijackthis\pruefung.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirolchat.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Rapget] C:\Dokumente und Einstellungen\AsKo\Desktop\rapidshare\Rapget1.11\rapget.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [CMS_RSChecker] "C:\Dokumente und Einstellungen\AsKo\Desktop\RSFAN.exe" -m
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\svchoslt.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1189690105281
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

mmk · 20.09.2007, 03:52

Zitat:

Zitat von Asko1987

ich verwende Hotmail.com und es erlaubt mir die datei nicht raufzuladen, soll ich sie verpacken?

Ja, bitte. Vergib dabei das Archivpasswort "virus". So kommt die Datei durch.

Zitat:

und den msn-messanger habe ich mir über google runtergeladen, weiß nicht mehr von welcher quelle genau ...

Wie groß ist die Installationsdatei? (Bitte nicht löschen!)

Asko1987 · 20.09.2007, 03:59

Zitat:

Zitat von mmk

Datfindbat
-> Poste bitte die sechs LogFiles der letzten 60 Tage.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4C2-5C09

Verzeichnis von C:\WINDOWS\system32

20-Sep-2007 02:14 108.336 mswinsck.ocx
17-Sep-2007 17:22 2.206 wpa.dbl
14-Sep-2007 20:17 43.520 CmdLineExt03.dll
12-Sep-2007 18:09 110.992 FNTCACHE.DAT
12-Sep-2007 13:50 34.308 Chip.dll
09-Sep-2007 05:09 16.832 amcompat.tlb
09-Sep-2007 05:09 23.392 nscompat.tlb
08-Sep-2007 08:34 312.214 perfh009.dat
08-Sep-2007 08:34 48.766 perfc007.dat
08-Sep-2007 08:34 40.602 perfc009.dat
08-Sep-2007 08:34 317.204 perfh007.dat
08-Sep-2007 08:34 724.842 PerfStringBackup.INI
08-Sep-2007 02:26 252 lvcoinst.log
08-Sep-2007 01:55 128.914 TZLog.log
08-Sep-2007 01:31 251 spupdwxp.log
07-Sep-2007 20:17 0 h323log.txt
07-Sep-2007 19:26 25.065 wmpscheme.xml
07-Sep-2007 19:22 302 $winnt$.inf
07-Sep-2007 19:20 2.951 CONFIG.NT
07-Sep-2007 19:19 488 WindowsLogon.manifest
07-Sep-2007 19:19 488 logonui.exe.manifest
07-Sep-2007 19:19 749 wuaucpl.cpl.manifest
07-Sep-2007 19:19 749 nwc.cpl.manifest
07-Sep-2007 19:19 749 cdplayer.exe.manifest
07-Sep-2007 19:19 749 sapi.cpl.manifest
07-Sep-2007 19:19 749 ncpa.cpl.manifest
07-Sep-2007 19:18 21.740 emptyregdb.dat
06-Sep-2007 04:50 17.474.680 MRT.exe
04-Aug-2007 10:10 95.600 NeroCo.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4C2-5C09

Verzeichnis von C:\DOKUME~1\AsKo\LOKALE~1\Temp

20-Sep-2007 02:15 512 ~DFE737.tmp
20-Sep-2007 02:15 1.097.728 ~DFE72C.tmp
20-Sep-2007 02:15 512 ~DFA903.tmp
20-Sep-2007 02:15 1.097.728 ~DFA8F8.tmp
20-Sep-2007 01:46 2.048.000 Acr608.tmp
20-Sep-2007 01:46 61.088 71a2_appcompat.txt
20-Sep-2007 01:45 16.384 ~DFB3EC.tmp
20-Sep-2007 01:44 16.384 ~DFAA39.tmp
20-Sep-2007 01:32 0 Acr607.tmp
20-Sep-2007 01:32 179 Acr601.tmp
20-Sep-2007 01:32 426 Acr602.tmp
19-Sep-2007 19:51 2.980 wmplog00.sqm
19-Sep-2007 02:02 20.409 sop_ad.jpg
18-Sep-2007 17:47 71.680 GLB6A.tmp
18-Sep-2007 17:11 67.994 TFR3F.tmp
18-Sep-2007 17:11 27.777 TFR36.tmp
18-Sep-2007 17:11 67.560 TFR35.tmp
18-Sep-2007 17:11 59.218 TFR31.tmp
18-Sep-2007 17:11 46.660 TFR2D.tmp
18-Sep-2007 17:11 46.021 TFR2B.tmp
17-Sep-2007 17:43 631 GCHWCfg.xml
17-Sep-2007 17:02 16.384 ~DF25B.tmp
16-Sep-2007 14:37 1.293 TWAIN.LOG
16-Sep-2007 14:37 2 Twain001.Mtx
16-Sep-2007 14:37 0 Twunk002.MTX
16-Sep-2007 14:37 156 Twunk001.MTX
15-Sep-2007 04:03 67.994 TFR23.tmp
15-Sep-2007 04:03 27.777 TFR19.tmp
15-Sep-2007 04:03 67.560 TFR17.tmp
15-Sep-2007 04:03 59.218 TFR13.tmp
15-Sep-2007 04:03 46.660 TFRF.tmp
15-Sep-2007 04:03 46.021 TFRE.tmp
14-Sep-2007 20:19 67.994 TFR4E.tmp
14-Sep-2007 20:19 27.777 TFR43.tmp
14-Sep-2007 20:19 67.560 TFR42.tmp
14-Sep-2007 20:19 59.218 TFR3E.tmp
14-Sep-2007 20:19 46.660 TFR3A.tmp
14-Sep-2007 20:17 24.744 SIntfNT.dll
14-Sep-2007 20:17 20.016 SIntf32.dll
14-Sep-2007 20:17 12.305 SIntf16.dll
14-Sep-2007 01:41 67.994 TFR63.tmp
14-Sep-2007 01:41 27.777 TFR5E.tmp
14-Sep-2007 01:41 67.560 TFR5B.tmp
14-Sep-2007 01:41 59.218 TFR5A.tmp
14-Sep-2007 01:41 46.660 TFR58.tmp
14-Sep-2007 01:41 46.021 TFR57.tmp
13-Sep-2007 20:26 67.994 TFR9A.tmp
13-Sep-2007 20:26 21.122 TFR94.tmp
13-Sep-2007 20:26 27.777 TFR90.tmp
13-Sep-2007 20:26 67.560 TFR8F.tmp
13-Sep-2007 20:26 59.218 TFR8D.tmp
13-Sep-2007 20:26 46.660 TFR8C.tmp
13-Sep-2007 20:26 46.021 TFR8B.tmp
13-Sep-2007 15:24 3.734 msiutil(1).log
13-Sep-2007 01:33 67.994 TFR6F.tmp
13-Sep-2007 01:33 27.777 TFR69.tmp
13-Sep-2007 01:33 67.560 TFR65.tmp
13-Sep-2007 01:33 59.218 TFR64.tmp
13-Sep-2007 01:33 46.660 TFR5D.tmp
13-Sep-2007 01:33 46.021 TFR5C.tmp
12-Sep-2007 18:28 512 ~DF97BE.tmp
12-Sep-2007 18:28 1.097.728 ~DF97B9.tmp
12-Sep-2007 18:28 512 ~DF766F.tmp
12-Sep-2007 18:28 1.097.728 ~DF766A.tmp
12-Sep-2007 15:47 3.508 Office XP Professional mit FrontPage Setup(0001).txt
12-Sep-2007 15:47 9.169.428 Office XP Professional mit FrontPage Setup(0001)_Task(0001).txt
12-Sep-2007 15:45 45.783 offcln10.log
12-Sep-2007 15:44 257 Setup Log File.log
12-Sep-2007 15:12 59.218 TFR56.tmp
12-Sep-2007 15:12 46.021 TFR55.tmp
12-Sep-2007 14:49 67.994 TFR38.tmp
12-Sep-2007 14:49 27.777 TFR30.tmp
12-Sep-2007 14:49 67.560 TFR2C.tmp
12-Sep-2007 14:49 46.660 TFR24.tmp
12-Sep-2007 03:27 78 dw.log
12-Sep-2007 02:49 21.122 TFR176.tmp
12-Sep-2007 00:45 67.994 TFR134.tmp
12-Sep-2007 00:45 21.122 TFR130.tmp
12-Sep-2007 00:45 27.777 TFR12A.tmp
12-Sep-2007 00:45 67.560 TFR128.tmp
12-Sep-2007 00:45 59.218 TFR124.tmp
12-Sep-2007 00:45 46.660 TFR120.tmp
12-Sep-2007 00:45 46.021 TFR11F.tmp
12-Sep-2007 00:44 10.225 TFR11B.tmp
11-Sep-2007 03:04 74.986 TFR26A.tmp
11-Sep-2007 02:58 10.225 TFR264.tmp
10-Sep-2007 16:34 21.122 TFR1A8.tmp
10-Sep-2007 16:21 67.994 TFR196.tmp
10-Sep-2007 16:21 27.777 TFR191.tmp
10-Sep-2007 16:21 67.560 TFR18F.tmp
10-Sep-2007 16:21 59.218 TFR18C.tmp
10-Sep-2007 16:21 46.660 TFR18A.tmp
10-Sep-2007 16:21 46.021 TFR189.tmp
10-Sep-2007 14:11 828.148 _Riva FLV Encoder.exe
10-Sep-2007 14:11 725.761 _Riva FLV Player.exe
10-Sep-2007 13:58 16.384 Perflib_Perfdata_5c0.dat
10-Sep-2007 02:20 512 ~DF5D4F.tmp
10-Sep-2007 02:20 1.097.728 ~DF5D48.tmp
10-Sep-2007 02:20 512 ~DF530C.tmp
10-Sep-2007 02:20 1.097.728 ~DF5302.tmp
09-Sep-2007 21:52 512 ~DF220E.tmp
09-Sep-2007 21:52 1.097.728 ~DF21ED.tmp
09-Sep-2007 21:52 512 ~DFC961.tmp
09-Sep-2007 21:52 1.097.728 ~DFC955.tmp
09-Sep-2007 21:52 32.768 ~DF8848.tmp
09-Sep-2007 20:06 59.964 ~e5.0001
09-Sep-2007 20:06 38.143 filelist.txt
09-Sep-2007 18:19 15.957 LIM4.tmp
09-Sep-2007 05:03 0 fvr6E.tmp
09-Sep-2007 01:55 355 3D.tmp
09-Sep-2007 01:54 355 3C.tmp
09-Sep-2007 01:53 355 3B.tmp
09-Sep-2007 01:48 119.296 40ed4.mst
08-Sep-2007 18:40 0 NBR7.tmp
08-Sep-2007 08:49 60.518 CCBC1.dmp
08-Sep-2007 08:49 16.292 ccaa_appcompat.txt
08-Sep-2007 08:35 23.051 InoSetup.log
08-Sep-2007 08:34 15.134 MSI1a815.LOG
08-Sep-2007 08:34 20 ~13.tmp
08-Sep-2007 08:34 0 ~3.tmp
08-Sep-2007 07:46 512 ~DF74B3.tmp
08-Sep-2007 07:46 1.081.344 ~DF74AE.tmp
08-Sep-2007 07:44 85 error.bat
08-Sep-2007 07:39 355 12.tmp
08-Sep-2007 07:27 355 5.tmp
08-Sep-2007 07:26 355 4.tmp
08-Sep-2007 07:24 355 3.tmp
08-Sep-2007 07:15 119.296 1198e.mst
08-Sep-2007 07:15 119.296 108082c.mst
08-Sep-2007 05:23 40.950 TFRDC.tmp
08-Sep-2007 05:23 32.204 TFRDB.tmp
08-Sep-2007 05:23 56.657 TFRD7.tmp
08-Sep-2007 05:23 35.574 TFRD5.tmp
08-Sep-2007 05:23 71.682 TFRCE.tmp
08-Sep-2007 05:23 20.560 TFRCD.tmp
08-Sep-2007 03:02 23.427 TFRAF.tmp
08-Sep-2007 03:02 67.994 TFRAB.tmp
08-Sep-2007 03:02 27.777 TFRA3.tmp
08-Sep-2007 03:02 67.560 TFRA2.tmp
08-Sep-2007 03:02 59.218 TFR9F.tmp
08-Sep-2007 03:02 46.660 TFR9D.tmp
08-Sep-2007 03:02 46.021 TFR9C.tmp
08-Sep-2007 02:25 2.772 convert.dat
08-Sep-2007 01:57 23.427 TFR1C8.tmp
08-Sep-2007 01:57 67.994 TFR1C6.tmp
08-Sep-2007 01:57 27.777 TFR1C1.tmp
08-Sep-2007 01:57 67.560 TFR1BE.tmp
08-Sep-2007 01:57 59.218 TFR1BD.tmp
08-Sep-2007 01:57 46.660 TFR1BB.tmp
08-Sep-2007 01:57 46.021 TFR1BA.tmp
08-Sep-2007 00:48 114.688 3961.rra
08-Sep-2007 00:41 114.688 766.rra
04-Sep-2007 22:12 65 38D7FD1A.TMP
09-Aug-2007 10:03 54.272 8899.mst

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4C2-5C09

Verzeichnis von C:\WINDOWS

20-Sep-2007 02:15 0 0.log
20-Sep-2007 02:15 159 wiadebug.log
20-Sep-2007 02:15 1.735.367 WindowsUpdate.log
20-Sep-2007 02:15 50 wiaservc.log
20-Sep-2007 02:15 623.773 setupapi.log
20-Sep-2007 02:14 2.048 bootstat.dat
20-Sep-2007 01:52 50 Lic.xxx
20-Sep-2007 01:52 539 win.ini
20-Sep-2007 01:49 265.000 ntbtlog.txt
20-Sep-2007 01:48 10.612 SchedLgU.Txt
19-Sep-2007 17:23 69 NeroDigital.ini
18-Sep-2007 19:13 46.235 wmsetup.log
18-Sep-2007 14:08 283.402 msxml4-KB936181-enu.LOG
17-Sep-2007 17:22 94.091 DirectX.log
14-Sep-2007 03:02 98.165 iis6.log
14-Sep-2007 03:02 1.374 imsins.log
14-Sep-2007 03:02 132.533 ntdtcsetup.log
14-Sep-2007 03:02 219.792 comsetup.log
14-Sep-2007 03:02 248.173 tsoc.log
14-Sep-2007 03:02 35.466 ocmsn.log
14-Sep-2007 03:02 22.809 KB937143-IE7.log
14-Sep-2007 03:02 318.433 ocgen.log
14-Sep-2007 03:02 32.338 msgsocm.log
14-Sep-2007 03:02 634.691 FaxSetup.log
14-Sep-2007 03:01 51.086 updspapi.log
14-Sep-2007 03:01 1.374 imsins.BAK
14-Sep-2007 03:01 10.911 KB938127-IE7.log
13-Sep-2007 15:42 73.076 spupdsvc.log
13-Sep-2007 15:40 23.112 ie7_main.log
13-Sep-2007 15:40 53.617 ie7.log
13-Sep-2007 15:38 15.912 IDNMitigationAPIs.log
13-Sep-2007 15:38 14.728 NLSDownlevelMapping.log
13-Sep-2007 15:38 12.964 KB915865.log
13-Sep-2007 15:37 5.773 KB914440.log
13-Sep-2007 15:37 45.144 KB937143.log
13-Sep-2007 15:36 12.668 KB904942.log
13-Sep-2007 15:25 2.821 KB885884.log
12-Sep-2007 22:18 202.597 setupact.log
12-Sep-2007 15:47 400 ODBC.INI
11-Sep-2007 03:24 24 S3E3307CF.tmp
09-Sep-2007 18:38 470 eReg.dat
09-Sep-2007 01:39 7.648 KB927891.log
09-Sep-2007 01:39 8.599 KB929399.log
09-Sep-2007 01:38 7.312 KB939683.log
09-Sep-2007 01:38 7.572 KB936782.log
08-Sep-2007 07:44 47 ktd32.atm
08-Sep-2007 07:23 241 QSync.INI
08-Sep-2007 07:20 737.280 iun6002.exe
08-Sep-2007 02:20 265 setup.iss
08-Sep-2007 02:04 41.698 Codec Pack - All In 1 Setup Log.txt
08-Sep-2007 02:02 45.131 KB899587.log
08-Sep-2007 02:02 47.940 KB927779.log
08-Sep-2007 02:02 41.669 KB927802.log
08-Sep-2007 02:02 44.830 KB922819.log
08-Sep-2007 02:01 40.063 KB885835.log
08-Sep-2007 02:01 43.194 KB885836.log
08-Sep-2007 02:01 40.737 KB923414.log
08-Sep-2007 02:01 44.976 KB928255.log
08-Sep-2007 02:01 42.040 KB931784.log
08-Sep-2007 02:01 43.697 KB911927.log
08-Sep-2007 02:01 39.980 KB901017.log
08-Sep-2007 02:01 43.669 KB899591.log
08-Sep-2007 02:01 39.960 KB920685.log
08-Sep-2007 02:01 43.573 KB893756.log
08-Sep-2007 02:01 40.418 KB923980.log
08-Sep-2007 02:00 43.234 KB911280.log
08-Sep-2007 02:00 40.290 KB936021.log
08-Sep-2007 02:00 43.062 KB911562.log
08-Sep-2007 02:00 39.197 KB938828.log
08-Sep-2007 02:00 39.838 KB924667.log
08-Sep-2007 02:00 36.752 KB896423.log
08-Sep-2007 02:00 42.324 KB900485.log
08-Sep-2007 02:00 38.665 KB924270.log
08-Sep-2007 02:00 40.216 KB931261.log
08-Sep-2007 02:00 36.357 KB873339.log
08-Sep-2007 02:00 40.318 KB924496.log
08-Sep-2007 02:00 37.453 KB936357.log
08-Sep-2007 01:59 40.565 KB921503.log
08-Sep-2007 01:59 36.409 KB887472.log
08-Sep-2007 01:59 40.531 KB938829.log
08-Sep-2007 01:59 36.748 KB896358.log
08-Sep-2007 01:59 28.513 KB925398.log
08-Sep-2007 01:59 30.980 KB910437.log
08-Sep-2007 01:59 26.711 KB911564.log
08-Sep-2007 01:58 37.364 KB925902.log
08-Sep-2007 01:58 39.963 KB929123.log
08-Sep-2007 01:58 34.910 KB920670.log
08-Sep-2007 01:58 36.156 KB891781.log
08-Sep-2007 01:58 35.217 KB918439.log
08-Sep-2007 01:58 42.957 KB902400.log
08-Sep-2007 01:57 35.528 KB890046.log
08-Sep-2007 01:57 31.954 KB926436.log
08-Sep-2007 01:57 37.250 KB920872.log
08-Sep-2007 01:57 32.955 KB930178.log
08-Sep-2007 01:57 35.858 KB919007.log
08-Sep-2007 01:57 32.794 KB914388.log
08-Sep-2007 01:57 35.614 KB917344.log
08-Sep-2007 01:57 31.483 KB905414.log
08-Sep-2007 01:56 34.160 KB917953.log
08-Sep-2007 01:56 31.338 KB932168.log
08-Sep-2007 01:56 33.711 KB901214.log
08-Sep-2007 01:56 27.335 KB923191.log
08-Sep-2007 01:56 24.399 KB922582.log
08-Sep-2007 01:56 28.602 KB918118.log
08-Sep-2007 01:56 31.336 KB926255.log
08-Sep-2007 01:56 32.343 KB888302.log
08-Sep-2007 01:56 31.976 KB900725.log
08-Sep-2007 01:56 27.048 KB938127.log
08-Sep-2007 01:56 30.638 KB920213.log
08-Sep-2007 01:56 37.169 KB933360.log
08-Sep-2007 01:55 29.588 KB935840.log
08-Sep-2007 01:55 20.824 KB886185.log
08-Sep-2007 01:55 21.273 KB916595.log
08-Sep-2007 01:55 26.145 KB930916.log
08-Sep-2007 01:55 29.118 KB904706.log
08-Sep-2007 01:55 26.384 KB908531.log
08-Sep-2007 01:55 29.371 KB905749.log
08-Sep-2007 01:55 25.863 KB913580.log
08-Sep-2007 01:54 21.353 KB896428.log
08-Sep-2007 01:54 24.954 KB935839.log
08-Sep-2007 01:54 21.717 KB894391.log
08-Sep-2007 01:54 25.969 KB908519.log
08-Sep-2007 01:54 19.820 KB920683.log
08-Sep-2007 01:54 22.706 KB914389.log
08-Sep-2007 01:54 20.714 KB890859.log
08-Sep-2007 01:54 20.049 KB928843.log
08-Sep-2007 01:52 1.140 mozver.dat
08-Sep-2007 01:45 0 nsreg.dat
08-Sep-2007 01:39 6.337 KB893803v2.log
08-Sep-2007 01:39 6.782 KB898461.log
08-Sep-2007 01:35 9.543 KB926239.log
08-Sep-2007 01:35 7.736 MSCompPackV1.log
08-Sep-2007 01:35 18.158 wmp11.log
08-Sep-2007 01:35 2.096 wmsetup10.log
08-Sep-2007 01:34 23.888 WMFDist11.log
08-Sep-2007 01:34 316.640 WMSysPr9.prx
08-Sep-2007 01:33 10.361 Wudf01000Inst.log
08-Sep-2007 01:32 11.392 DPINST.LOG
08-Sep-2007 01:31 360 DtcInstall.log
08-Sep-2007 01:31 1.174 OEWABLog.txt
08-Sep-2007 01:31 895.345 setuplog.txt
08-Sep-2007 01:29 413.116 svcpack.log
08-Sep-2007 01:26 200 cmsetacl.log
08-Sep-2007 01:26 1.330 sessmgr.setup.log
08-Sep-2007 01:18 589 medctroc.Log
08-Sep-2007 01:08 1.362.792 setupapi.log.0.old
08-Sep-2007 00:39 60.618 Windows Update.log
07-Sep-2007 20:15 0 Sti_Trace.log
07-Sep-2007 20:14 1.348 regopt.log
07-Sep-2007 20:14 231 system.ini
07-Sep-2007 20:13 0 setuperr.log
07-Sep-2007 19:30 591 chipset.log
07-Sep-2007 19:28 92 CMISETUP.INI
07-Sep-2007 19:28 26 CMCDPLAY.INI
07-Sep-2007 19:28 0 Wininit.ini
07-Sep-2007 19:25 203 nsw.log
07-Sep-2007 19:23 8.192 REGLOCS.OLD
07-Sep-2007 19:20 0 control.ini
07-Sep-2007 19:20 299.552 WMSysPrx.prx
07-Sep-2007 19:20 4.161 ODBCINST.INI
07-Sep-2007 19:19 749 WindowsShell.Manifest
07-Sep-2007 19:18 36 vb.ini
07-Sep-2007 19:18 37 vbaddin.ini
04-Aug-2007 10:40 972.072 UNRecode.exe
03-Aug-2007 12:52 972.072 UNNeroMediaHome.exe
13-Jun-2007 15:21 1.036.288 explorer.exe
21-Mrz-2007 21:02 972.336 UNNeroVision.exe
20-Mrz-2007 21:22 972.336 UNNeroBackItUp.exe
28-Feb-2007 16:41 972.336 UNNeroShowTime.exe
15-Sep-2005 14:35 50 UNNeroMediaHome.cfg
30-Aug-2005 21:37 50 UNNeroVision.cfg
30-Aug-2005 21:37 50 UNNeroShowTime.cfg
30-Aug-2005 21:36 50 UNRecode.cfg
30-Aug-2005 21:33 50 UNNeroBackItUp.cfg
27-Mai-2005 01:22 10.752 hh.exe
04-Aug-2004 00:58 288.768 winhlp32.exe
04-Aug-2004 00:58 32.866 slrundll.exe
04-Aug-2004 00:58 153.600 R.COM
04-Aug-2004 00:58 153.600 REGEDIT.COM
04-Aug-2004 00:58 153.600 regedit.exe
04-Aug-2004 00:58 70.144 notepad.exe
04-Aug-2004 00:57 50.688 twain_32.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4C2-5C09

Verzeichnis von C:\WINDOWS\Temp

12-Sep-2007 13:34 413 2ae3.tmp
11-Sep-2007 03:21 413 75f3.tmp
09-Sep-2007 21:52 413 3d33.tmp
08-Sep-2007 18:11 413 4683.tmp
08-Sep-2007 08:35 413 ceb1F.tmp
08-Sep-2007 02:26 7.022 Lqdsw.log
08-Sep-2007 02:18 53.248 InstHelper.dll
08-Sep-2007 02:18 1.812 setup.log
08-Sep-2007 01:32 16.384 Perflib_Perfdata_b90.dat
04-Sep-2003 07:56 7.445 ich5ide.cat
03-Sep-2003 11:53 7.773 ich5usb.cat
29-Aug-2003 09:07 9.201 ich5core.cat
29-Aug-2003 09:07 9.191 865.CAT
28-Aug-2003 19:39 4.336 ich5usb.inf
28-Aug-2003 17:25 13.647 atixpwdm.cat
25-Aug-2003 10:44 4.615 ich5core.inf
21-Aug-2003 11:09 4.763 865.INF
06-Aug-2003 18:00 30.656 atixpwdm.inf
06-Aug-2003 17:44 14.336 atinpdxx.sys
06-Aug-2003 17:44 13.824 atinmdxx.sys
06-Aug-2003 17:41 104.960 atinrvxx.sys
06-Aug-2003 17:40 63.488 atinxsxx.sys
06-Aug-2003 17:39 51.712 atinraxx.sys
06-Aug-2003 17:38 9.728 ativdaxx.ax
06-Aug-2003 17:38 23.040 ativmvxx.ax
06-Aug-2003 17:37 32.768 ativtmxx.dll
06-Aug-2003 17:37 13.824 atinttxx.sys
06-Aug-2003 17:37 57.856 atinbtxx.sys
06-Aug-2003 17:36 31.744 atinxbxx.sys
06-Aug-2003 17:36 28.672 atinsnxx.sys
06-Aug-2003 17:35 56.832 atintuxx.sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4C2-5C09

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07-Sep-2007 19:19 65 desktop.ini
30-Jul-2007 19:24 295 muweb.inf
11-Jun-2007 12:21 5.021 swflash.inf
13-Apr-2007 15:27 367 LegitCheckControl.inf
4 Datei(en) 5.748 Bytes
0 Verzeichnis(se), 33.149.329.408 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4C2-5C09

Verzeichnis von C:\

20-Sep-2007 04:58 0 sys.txt
20-Sep-2007 04:58 455 down.txt
20-Sep-2007 04:57 2.025 tmp.txt
20-Sep-2007 04:57 11.678 system.txt
20-Sep-2007 04:56 8.292 systemtemp.txt
20-Sep-2007 04:55 99.867 system32.txt
20-Sep-2007 02:14 805.306.368 pagefile.sys
08-Sep-2007 01:26 211 boot.ini
08-Sep-2007 01:21 47.564 NTDETECT.COM
08-Sep-2007 01:21 251.184 ntldr
07-Sep-2007 19:20 0 IO.SYS
07-Sep-2007 19:20 0 CONFIG.SYS
07-Sep-2007 19:20 0 AUTOEXEC.BAT
07-Sep-2007 19:20 0 MSDOS.SYS
02-Apr-2003 14:00 4.952 bootfont.bin
15 Datei(en) 805.732.596 Bytes
0 Verzeichnis(se), 33.149.329.408 Bytes frei

__________________________

hoffe ich habe es richtig gemacht

Asko1987 · 20.09.2007, 04:04

Zitat:

Zitat von mmk

Ja, bitte. Vergib dabei das Archivpasswort "virus". So kommt die Datei durch.

Wie groß ist die Installationsdatei? (Bitte nicht löschen!)

E-mail wurde abgeschickt!

und installationsdatei steht 689 KB

mmk · 20.09.2007, 04:09

Schick bitte auch diese Installationsdatei - und die erste Datei nochmal, dieses Mal aber die richtige - achte auf die Schreibweise! Es geht um die Datei svchoslt.exe - also mit einem "l" vor dem "t"!

Asko1987 · 20.09.2007, 04:17

Zitat:

Zitat von mmk

Schick bitte auch diese Installationsdatei - und die erste Datei nochmal, dieses Mal aber die richtige - achte auf die Schreibweise! Es geht um die Datei svchoslt.exe - also mit einem "l" vor dem "t"!

die Datei svchoslt.exe finde ich bei windows-system32 nicht.. findet er eigentlich überhaupt niergends

..aber die installationsdatei habe ich mal geschickt..

mmk · 20.09.2007, 04:19

Zitat:

Zitat von Asko1987

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/

"Windows Update" = "C:\WINDOWS\system32\svchoslt.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"DirectX For Microsoft® Windows" = "C:\WINDOWS\system32\fservice.exe" [file not found]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{D8D29E0E-CF0B-B600-B460-B8BC86A61010}\(Default) = "shar"
\StubPath = "C:\WINDOWS\system32\svchoslt.exe" [null data]

fservice.exe ist Backdoor.Prorat, svchoslt.exe kläre ich, wenn sie bei mir eingetroffen ist.

Im HijackThis-Log ist sie nun auch ersichtlich:

Code:

ATTFilter

C:\WINDOWS\system32\svchoslt.exe
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\svchoslt.exe

Außerdem:

Code:

ATTFilter

C:\Programme\Hijackthis\pruefung.com.exe

Du lässt Dir standardmäßig die Dateinamenerweiterungen ausblenden - ändere dies. Siehe dazu hier, Punkt 2.). Lass Dir auch versteckte / geschützte Systemdateien anzeigen, dann findest Du auch die Datei svchoslt.exe!

hmm.. Ich brauche Hilfe..bitte helfen!

Plagegeister aller Art und deren Bekämpfung: hmm.. Ich brauche Hilfe..bitte helfen!