Hallo Leute,

ich habe festgestellt, daß ich zwei Dateien vom Typ Services.exe habe, die sich augenscheinlich durch nichts unterscheiden.
Eine liegt unter c:\winnt\system 32,
die andere unter c:\winnt\servicepackfiles\i386.
Kann es sein, daß ich einen Wurm gefangen habe.

Bitte um Hilfe, Danke

Wie kommst Du drauf?
An sich sind die Dateien normal. Biete uns doch ein paar Informationen.

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als [CODE]dazwischen müssen Deine Logs :)[/CODE].
* Drücke die "#" um diese Felder zu erzeugen.

Wichtig: Durchsuche die Log-Files nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
* Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.



Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Lauferken.
* es läd das Programm es führt das Programm HijackThis aus (ggf. läd es dies aus dem Internet nach) und führt einen Systemscan aus
* es prüft verschiedene Systemeinstellungen

Hallo Leute,

anbei noch der Logfile, vielleicht kann man da was erkennen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:14:32, on 23.01.2008
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HiJackThis\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\FDIeHlp.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SeaMonkey Quick Launch] "C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201123209390
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

--
End of file - 4869 bytes

Hier sind die Informationen:

#Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows 2000 Professional (build 2195) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Athlon-Prozessor
Percentage of Memory in Use: 45%
Physical Memory (total/avail): 511.48 MiB / 279.74 MiB
Pagefile Memory (total/avail): 1247.56 MiB / 1000.72 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1946.21 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 19.53 GiB total, 15.93 GiB free.
D: is Fixed (NTFS) - 54.99 GiB total, 46.38 GiB free.
V: is CDROM (No Media)
Z: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - WDC WD800BB-00CAA1 - 74.53 GiB - 2 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 19.53 GiB - C:
\PARTITION1 - Erweitert mit Int 13 (erweitert) - 54.99 GiB - D:



-- Security Center -------------------------------------------------------------



-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\***\Anwendungsdaten
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=AMD
ComSpec=C:\WINNT\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\
LOGONSERVER=\\AMD
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Os2LibPath=C:\WINNT\system32\os2\dll;
Path=C:\Programme\mozilla.org\SeaMonkey;C:\Programme\mozilla.org\SeaMonkey\;C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG;C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 6 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0602
ProgramFiles=C:\Programme
PROMPT=$P$G
SystemDrive=C:
SystemRoot=C:\WINNT
TEMP=C:\DOKUME~1\***\LOKALE~1\Temp
TMP=C:\DOKUME~1\frank\LOKALE~1\Temp
tvdumpflags=8
USERDOMAIN=AMD
USERNAME=***
USERPROFILE=C:\Dokumente und Einstellungen\***
windir=C:\WINNT


-- User Profiles ---------------------------------------------------------------

*** (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Adobe Acrobat 5.0 --> C:\WINNT\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Download Manager 2.0 (Nur entfernen) --> "C:\Programme\Gemeinsame Dateien\Adobe\ESD\uninst.exe"
Adobe InDesign 2.0 --> C:\WINNT\ISUN0407.EXE -f"C:\Programme\Adobe\InDesign 2.0\Uninst.isu" -c"C:\Programme\Adobe\InDesign 2.0\Uninst.dll"
Adobe SVG Viewer 3.0 --> C:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Winstall.exe -u -fC:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Install.log
ALOT Toolbar --> "C:\Programme\alot\alotUninst.exe"
Avance AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
Avira AntiVir PersonalEdition Classic --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
EMEA02 --> MsiExec.exe /X{949460AD-3C77-44FD-8D78-BF605EF28114}
Exact Audio Copy v0.9 beta 4 --> "C:\Programme\Exact Audio Copy\unins000.exe"
FreshDownload --> C:\Programme\FreshDevices\FreshDownload\unins000.exe
HijackThis 2.0.2 --> "C:\Programme\AVPersonal\HijackThis.exe" /uninstall
HP Foto- und Bildbearbeitung 2.0 - All-in-One --> MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber --> MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
HP Foto und Bildbearbeitung 2.0 - hp psc 2100 series --> C:\Programme\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
HP OfficeJet/PSC Scrubber --> C:\WINNT\IsUninst.exe -fC:\HPAiOScrubber\Uninst.isu
hp psc 2100 series --> MsiExec.exe /X{82DFB852-9594-4668-9C66-28BB6E94BCB2}
hp psc 2100 series --> rundll32 hpzcon07.dll,VendorJettison hp psc 2100 series
InterVideo WinDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C1939820-A945-11D4-86F6-0001031E5712}\setup.exe" REMOVEALL
IrfanView (remove only) --> C:\Programme\IrfanView\iv_uninstall.exe
KaZaA Lite v2.1.0 [K++ Edition] --> "C:\Programme\Kazaa Lite\unins000.exe"
Microsoft Internet Explorer 6 SP1 --> rundll32 C:\WINNT\System32\setupwbv.dll,IE6Maintenance C:\Programme\Internet Explorer\Deinstallation von Internet Explorer\W2KEXCP.EXE /u
Microsoft Office 2000 Professional --> MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7}
Microsoft PhotoDraw 2000 V2 --> MsiExec.exe /I{3C5EA394-1031-11D2-A2CB-00C04F72F31D}
NVIDIA WDM Drivers --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B023185F-F1EF-4F97-B0BD-AE6D802226D1}\Setup.exe"
NVIDIA Windows 2000/XP Display Drivers --> rundll32.exe C:\WINNT\System32\nvinstnt.dll,NvUninstallNT4 nv4_disp.inf
Panda ActiveScan --> C:\WINNT\System32\ASUninst.exe Panda ActiveScan
PDFCreator 0.8.0 --> C:\Programme\PDFCreator\unins000.exe
PhoneTools --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F45298E5-0083-426F-A668-1A2C5F04B8A0}\setup.exe" ControlPanel
QuickTime --> C:\WINNT\unvise32qt.exe C:\WINNT\System32\QuickTime\Uninstall.log
Readiris 7.5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9BFFB382-0B2C-11D6-AB3E-000102B0F79A}\setup.exe" -l0x7
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Roxio WinOnCD 5 Power Edition --> MsiExec.exe /I{DC88820C-64CB-40E9-AA77-E2ECC34368B3}
Roxio WinOnCD ServicePack 5.05 --> MsiExec.exe /X{6C218E3E-9979-45F2-8753-DF631A91EDA1}
SeaMonkey (1.1.7) --> C:\WINNT\SeaMonkeyUninstall.exe /ua "1.1.7 (de)"
Sony USB Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5C29CB8B-AC1E-4114-8D68-9CD080140D4A}\Setup.exe" UNINSTALL
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
U.S. Robotics ControlCenter --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B83E0346-D2D0-11D5-A9AE-00105AA9E047}\Setup.exe" -l0x7 anything
Ulead Photo Explorer 8.5 SE Basic --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{025C3792-E9C6-432A-92C1-661F99D021CA}\setup.exe" -l0x7
Ulead VideoStudio 6 SE DVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5404E185-BD7C-4A72-ABD0-91A411A05726}\setup.exe"
Winamp3 (remove only) --> C:\Programme\Winamp3\uninst-wa3.EXE
Windows Media Encoder 9-Reihe --> msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Encoder 9-Reihe --> MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Player-Systemupdate (9-Reihe) --> C:\PROGRA~1\WINDOW~2\setup_wm.exe /Uninstall
WinFast(R) Display Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B3BA36BC-6795-4DA0-91E9-6B2AF4ABE30A}\setup.exe"
WinFast(R) PVR (Application) --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C882DE6B-1482-42D6-A7C2-A9F946EDBAF6}\setup.exe"
WinRAR archiver --> C:\Programme\WinRAR\uninstall.exe
ZoneAlarm --> C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type1991 / Warning
Event Submitted/Written: 01/23/2008 10:46:34 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\WINNT\System32\ActiveScan\SET35.tmp
verdächtigen Code mit der Bezeichnung 'W95/Blumblebee.1738'!

Event Record #/Type1989 / Error
Event Submitted/Written: 01/23/2008 08:47:30 PM
Event ID/Source: 1000 / Microsoft Internet Explorer
Event Description:
iexplore.exe6.0.2800.1106kernel32.dll5.0.2195.27780000f142

Event Record #/Type1988 / Error
Event Submitted/Written: 01/23/2008 08:46:16 PM
Event ID/Source: 1000 / Microsoft Internet Explorer
Event Description:
iexplore.exe6.0.2800.1106kernel32.dll5.0.2195.27780000f142

Event Record #/Type1987 / Error
Event Submitted/Written: 01/23/2008 08:45:49 PM
Event ID/Source: 1000 / Microsoft Internet Explorer
Event Description:
iexplore.exe6.0.2800.1106kernel32.dll5.0.2195.27780000f142

Event Record #/Type1986 / Error
Event Submitted/Written: 01/23/2008 08:44:42 PM
Event ID/Source: 1000 / Microsoft Internet Explorer
Event Description:
iexplore.exe6.0.2800.1106kernel32.dll5.0.2195.27780000f142



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type333 / Error
Event Submitted/Written: 01/23/2008 11:18:05 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "AntiVir Update" wurde aufgrund folgenden Fehlers nicht gestartet:
%%3

Event Record #/Type328 / Error
Event Submitted/Written: 01/23/2008 11:05:43 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "AntiVir Update" wurde aufgrund folgenden Fehlers nicht gestartet:
%%3

Event Record #/Type323 / Error
Event Submitted/Written: 01/23/2008 10:15:40 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "AntiVir Update" wurde aufgrund folgenden Fehlers nicht gestartet:
%%3

Event Record #/Type290 / Warning
Event Submitted/Written: 01/23/2008 11:01:46 PM
Event ID/Source: 11050 / dnscache
Event Description:
Der DNS-Clientdienst konnte trotz wiederholten Versuchen die
Verbindung mit anderen DNS-Server nicht herstellen. Während den
nächsten 30 Sekunden wird der DNS-Clientdienst keine Verbindung zum
Netzwerk herstellen, damit die Netzwerkleistung nicht weiterhin
beeinträchtigt wird. Falls dieses Problem weiterhin besteht, sollten
Sie die TCP/IP- und die (und eventuell eine zweite)
DNS-Serverkonfiguration überprüfen. Zusätzlich sollten Sie die
Netzwerkverbindungen zu diesen DNS-Servern überprüfen oder sich an
den Netzwerkadministrator wenden.

Event Record #/Type281 / Warning
Event Submitted/Written: 01/23/2008 10:47:47 PM
Event ID/Source: 11050 / dnscache
Event Description:
Der DNS-Clientdienst konnte trotz wiederholten Versuchen die
Verbindung mit anderen DNS-Server nicht herstellen. Während den
nächsten 30 Sekunden wird der DNS-Clientdienst keine Verbindung zum
Netzwerk herstellen, damit die Netzwerkleistung nicht weiterhin
beeinträchtigt wird. Falls dieses Problem weiterhin besteht, sollten
Sie die TCP/IP- und die (und eventuell eine zweite)
DNS-Serverkonfiguration überprüfen. Zusätzlich sollten Sie die
Netzwerkverbindungen zu diesen DNS-Servern überprüfen oder sich an
den Netzwerkadministrator wenden.



-- End of Deckard's System Scanner: finished at 2008-01-23 11:27:12 ------------

Deckard's System Scanner v20071014.68
Run by *** on 2008-01-23 11:25:55
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as ***.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:26:34, on 23.01.2008
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Temporär\dss.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\PROGRA~1\HIJACK~1\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\FDIeHlp.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SeaMonkey Quick Launch] "C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201123209390
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

--
End of file - 4884 bytes

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - C:\WINNT\rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.txt - txtfile - DefaultIcon - D:\INSTALL\Tools\Editpad\EDITPAD.EXE,1
.txt - txtfile - shell\open\command - D:\INSTALL\Tools\Editpad\EDITPAD.EXE "%1"


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 pfc (Padus ASPI Shell) - c:\winnt\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell>
R1 VIAPFD - c:\winnt\system32\drivers\viapfd.sys <Not Verified; VIA Technologies. Inc.; VIA PFD driver>

S0 NVDual - c:\winnt\system32\drivers\nvdual.sys (file missing)
S3 WFIOCTL - c:\programme\winfast\wftvfm\wfioctl.sys
S3 WFsys (WinFox Control I/O Driver) - c:\winnt\system32\drivers\wfsys.sys <Not Verified; Leadtek Research Inc.; WinFox Control I/O Driver>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler>

S2 AVWUpSrv (AntiVir Update) - c:\programme\avpersonal\avwupsrv.exe (file missing)


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2005-12-08 19:22:07 334 --a------ C:\WINNT\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1073326923.job


-- Files created between 2007-12-23 and 2008-01-23 -----------------------------

2008-01-23 23:37:05 0 d-------- C:\Programme\Trojancheck 6
2008-01-23 22:46:09 0 d-------- C:\WINNT\System32\ActiveScan
2008-01-23 22:37:14 0 d-------- C:\Dokumente und Einstellungen\All Users\Application Data
2008-01-23 22:37:14 0 d-------- C:\Dokumente und Einstellungen\All Users\Application Data\MailFrontier
2008-01-23 22:37:00 11264 --a------ C:\WINNT\System32\SpOrder.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(TM) Operating System>
2008-01-23 22:36:55 74396 --a------ C:\WINNT\System32\drivers\klin.dat
2008-01-23 22:36:55 75932 --a------ C:\WINNT\System32\drivers\klick.dat
2008-01-23 22:36:53 1824 --ahs---- C:\WINNT\System32\drivers\fidbox2.dat
2008-01-23 22:36:53 18464 --ahs---- C:\WINNT\System32\drivers\fidbox.dat
2008-01-23 22:24:44 0 d-------- C:\Programme\WindowsUpdate
2008-01-23 22:22:38 0 d-------- C:\WINNT\SoftwareDistribution
2008-01-23 21:59:09 0 d-------- C:\Programme\Avira
2008-01-23 20:35:55 0 d-------- C:\WINNT\Windows Update Setup-Dateien
2008-01-23 15:07:25 57344 --a------ C:\WINNT\uneng.exe <Not Verified; Roxio; Roxio Update Wizard>
2008-01-23 15:07:25 0 d-------- C:\Programme\Gemeinsame Dateien\Adaptec Shared
2008-01-23 15:07:21 225280 --a------ C:\WINNT\System32\wmpdxm.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows Media Player>
2008-01-23 15:07:21 106496 --a------ C:\WINNT\System32\wmpasf.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows Media Player>
2008-01-23 15:07:11 52736 --a------ C:\WINNT\System32\mspmsnsv.dll <Not Verified; Microsoft Corporation; Windows Media-Geräte-Manager>
2008-01-23 11:24:25 0 d-------- C:\Temporär <TEMPOR~1>
2008-01-23 02:45:19 522752 --a------ C:\WINNT\System32\NCTAudioTransform2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioTransform2 ActiveX DLL>
2008-01-23 02:45:19 634880 --a------ C:\WINNT\System32\NCTAudioEditor2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioEditor2 ActiveX DLL>
2008-01-23 02:45:18 467968 --a------ C:\WINNT\System32\NCTAudioRecord2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioRecord2 ActiveX DLL>
2008-01-23 02:45:18 467456 --a------ C:\WINNT\System32\NCTAudioPlayer2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioPlayer2 ActiveX DLL>
2008-01-23 02:45:18 966144 --a------ C:\WINNT\System32\NCTAudioInformation2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioInformation2 ActiveX DLL>
2008-01-23 02:45:18 877568 --a------ C:\WINNT\System32\NCTAudioFile2.dll <Not Verified; NCT Company Ltd.; NCTAudioFile2 ActiveX DLL>
2008-01-23 02:45:18 237568 --a------ C:\WINNT\System32\lame_enc.dll
2008-01-23 01:48:20 0 d-------- C:\Programme\alot


-- Find3M Report ---------------------------------------------------------------

2008-01-23 23:04:10 1108186 ---h----- C:\WINNT\ShellIconCache
2008-01-23 22:38:34 4212 ---h----- C:\WINNT\System32\zllictbl.dat
2008-01-23 20:47:30 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\alot
2008-01-23 20:40:15 0 d-a------ C:\Programme\Gemeinsame Dateien
2008-01-23 20:40:15 0 d-------- C:\Programme\Gemeinsame Dateien\Dienste
2008-01-23 19:26:37 0 d-------- C:\Programme\Kazaa Lite
2008-01-23 15:40:08 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\concept design
2007-12-12 00:24:39 0 d-------- C:\Programme\PDFCreator
2007-12-11 23:27:33 219469 --a------ C:\WINNT\SeaMonkeyUninstall.exe
2007-12-11 23:27:33 10856 --a------ C:\WINNT\mozver.dat
2007-12-11 23:27:27 118784 --a------ C:\WINNT\GREUninstall.exe
2007-12-10 22:24:36 0 d-------- C:\Programme\Gemeinsame Dateien\SWF Studio


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [10.12.99 13:00 C:\WINNT\system32\mobsync.exe]
"SoundMan"="SOUNDMAN.EXE" [18.06.02 11:44 C:\WINNT\SOUNDMAN.EXE]
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [30.07.02 15:50 C:\WINNT\system32\nwiz.exe]
"WinFast Schedule"="C:\Programme\WinFast\WFTVFM\WFWIZ.exe" [04.09.02 17:21 ]
"HPDJ Taskbar Utility"="C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe" [09.03.03 21:30 ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [28.11.06 22:32 ]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [23.01.08 22:30 ]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [21.06.07 21:54 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SeaMonkey Quick Launch"="C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe" [28.11.07 12:14 ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [31.08.07 16:46 ]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
ZoneAlarm.lnk - C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe [26.05.2004 10:43:57]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"




-- End of Deckard's System Scanner: finished at 2008-01-23 11:27:12 ------------#

In dem Log seh ich keine Infektion.
Allerdings solltes Du dringend Microsoft Windows Update besuchen, für Windows 2000 gibt es schon das Service Pack 4 und ein Rollup danach.

Dann update Dein Antivir und stelle es wie hier angegeben und scanne das System.

Danke für die prompte Bearbeitung.:aplaus:

Bin auf die Frage gekommen, weil ich im Internet gelesen habe, daß man nur eine services.exe auf dem Rechner haben sollte.

Es läuft nur eine, die andere liegt in dem Ordner ...\spfiles, da kann auch eine liegen, das ist kein Problem.

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool , welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch gut auf einem System.

Nutze standardmäßig einen alternativen Browser, wie zb Firefox oder Opera
Der Internet Explorer sollte nur für das Windows- Officeupdate benutzt werden.
Eine Alternative zu Outlook ist zb Thunderbird, Eudora

Plugins für Mozilla härten diesen zudem noch.
- NoScript Plugin, welches das ausführen von Scripten blockiert.
- Flashblock Plugin, welches das Laden von Flash Filmen verhindert (auch ideal zum surfen via Schmalband geeignet)

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.
Ein weiterer ist PidGin

CCleaner - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Vorsichtig bleiben. Lade keine Software von dir komplett unbekannten Seiten (zb goldencodecs.com, morefreesoftware.com etc namen ausgedacht, kein zusammenhang mit evtl real existierenden Seiten) und benutze kein p2p um an Software (oder sonst was) zu kommen. Bist du unsicher, ob das geladene Programm sauber ist, dann lade den Installer zb bei virustotal hoch und lass ihn dort überprüfen.
Die meisten Crack/Keylogger/Entsprechende Seiten nehmen im Hintergrund Änderungen am System vor, beinflussen es, oder Installieren Schadsoftware

Keine unbekannten Dateien annehmen und öffnen, weder per Mail noch per MSN/ICQ/Instant Messenger. Auch von Freunden unverlangt erhaltene Dateien immer kritisch nachragen.

Wenn eine Seite dubios aussieht und versucht Dateien auf deinem Rechner zu installieren (sei es zum Video abspielen oder sonstwas), dann vertrau deinem Gefühl und verschwinde.

Überprüfe dein System bei Bedarf mit einem On-Demandscanner um eventuelle Befälle aufzuspüren.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Generell gilt: Halte immer alle Anwendung auf einem akutellem Stand!

Danke für die Infos!

Habe noch einige Fragen:

Zu spybot - hatte das Programm schon installiert, wie erkenne ich, ob Tea Timer & SD Helper aktiviert ist?

Fürs Internet benutzte ich SeaMonkey 1.1.7, ist das nicht mit Firefox identisch (Mozilla)?

Flashblock 1.5.5 habe ich zwar heruntergeladen (flashblock-1.5.5-fx+ns+fl.xpi), kann es jedoch nicht ausführen.

Tea Timer erzeugt im HJt diesen Eintrag

Zitat:

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

Deaktivieren kannst Du ihn so.
Seamonkey setzt auf der Mozilla Engine auf ist aber nicht das selbe.

Für Seamonkey musst Du wie hier beschrieben vorgehen um Flashblock zu installieren.