HiJackThis Log-File auswertung

stopfkopf · 10.06.2008, 07:15

servus,
seit dem ich vor ein paar tagen, ein programm runtergeladen hab,erscheint beim anmelden links oben ein kleines fenster in dem steht "persönliche einstellungen einrichten azur". "hijack this" sagt mir dass die datei svshosts.exe gefährlich ist, diese kann ich aber nicht finden.
ausversehn hab ich dann die datei svchost.exe an einen Virenscanner im netz geschickt (name fällt mir leider im moment nicht ein) und nur einer von 36 stück (prevx v2) konnte in dieser datei einen Trojaner lokalisieren.
Bin dann auf das programm security task manager gestoßen, der mir auch sagt dass die datei svshosts.exe gefährlich ist, und auch eine enorm hohe cpu auslastung bewirkt. durch das programm konnte ich die datei unter quarantäne stellen so dass sie beim system start nicht gelanden wird, beim nächsten reboot kam dann die meldung "persönliche einstellungen einrichten azur" auch nicht mehr. wars dass schon? oder ist mein rechner immer noch infiziert.

der logfile hab ich bevor ich security task manager installiert und die datei unter quarantäne gestellt hab erstellt.

danke schon mal im Voraus

amd 3200+ 64bit
1gb ram
asus k8v board

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

stopfkopf · 10.06.2008, 11:53

ich hoff das ist nun besser. wenn nicht alle guten dinge sind 3 =).

Code:

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:43:59, on 07.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
F:\AlienGUIse\wbload.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svshosts.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDLL32.exe
F:\WLAN Monitor\wlconfig.exe
F:\asus\asus probe\AsusProb.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
F:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\DOKUME~1\ALLUSE~1\ANWEND~1\AccSys\FD4C32~1\accwpac.exe
F:\FIREFOX\FIREFOX.EXE
F:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Java\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - f:\FlashFXP\IEFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WLAN Quick Starter] "f:\WLANQU~1\WLAN Quick Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] "F:\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [ASUS Probe] f:\asus\asus probe\AsusProb.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [LDM] f:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\svshosts.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQLiteICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQLiteICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bw+0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - f:\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: offline-8876480 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 19697 bytes

stopfkopf · 11.06.2008, 07:12

guten morgen,
ich weis ich kann das nicht als selbstverständlich ansehn dass ihr mir bei meinem problem hilft. wär euch aber richtig dankbar wenn ihr mir sagen könnt wie ich das wieder hinbekomm. mit hilfe des programm "security task manager"
hab ich die Datei "IAdHide5.dll" ebenfalls wie die datei "svshosts.exe" in quantäne gestellt.

wie bekomm ich mein system wieder sicher?

vielen dank im voraus für eure bemühungen.

salahlok · 11.06.2008, 09:15

can you speake arabic !!!
becaus I'am in alger

myrtille · 11.06.2008, 09:52

Hi,
das sieht relativ bös aus...
Wenn die Datei zu dem Trojaner gehört, den ich vermute war es das definitiv noch nicht.

Erstell bitte ein Log mit Combofix: Anleitung und poste es hier.

Lass bitte außerdem auch die Dateien svshosts.exe und IAdHide5.dll bei virustotal auswerten und poste das gesamte Ergebnis hier.

Wo war die IAdHide5.dll denn? Inwiefern wurde sie als böse eingstuft?

lg myrtille

stopfkopf · 11.06.2008, 13:11

danke werd das mit dem combofix gleich mal heute abend machen, sobald ich wieder daheim bin.

combofix muss ich dann aus der wiederherstellungskonsole öffnen oder nicht? wenn nein muss ich diese dann zwingend installieren?

die datei svshosts.exe kann man nicht finden, er sagt zwar sie befindet sich unter C:\windows\system32\ aber dort findet man sie nicht auch wenn ich die geschützen systemdatein anzeigen lasse.

die datei IAdHide.dll steht unter C:\dokumente und einstellungen\***\Lokale einstellungen\temp\
das programm "security task manager" hat diese als potential gefährlichste datei eingestuft, drum hab ich sie mal rausgenommen.

aber wie gesagt seit dem ich die datei svshost.exe unter quantäne gestellt habe, erscheint nach dem anmelden, dieses fenst links oben nicht mehr: persönliche einstellungen einrichten für azur"

danke für die rasche antwort

myrtille · 11.06.2008, 13:16

Nein Combofix muss nicht aus der Herstellungskonsole gestartet werden.
Es ist allerdings vorzuziehen die Wiederherstellungskonsole zu installieren, weil sie uns mehr Möglichkeiten für eine Bereinigung gibt.

lg myrtille

stopfkopf · 11.06.2008, 17:47

also hab nun den combofix durchlaufen lassen, einmal ohne die svshosts.exe und das eine mal hab ich sie aus der quantäne gelassen und erneut einen log-file erstellen lassen.

zuerst den log OHNE die svshosts.exe

Code:

ATTFilter

ComboFix 08-06-10.5 - *** 2008-06-11 17:33:35.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.662 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Cache
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2008-05-11 bis 2008-06-11  ))))))))))))))))))))))))))))))
.

2008-06-09 22:36 . 2008-06-11 17:36	<DIR>	d--------	C:\Programme\Crawler
2008-06-09 22:00 . 2008-06-10 22:16	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-06-06 21:51 . 2008-06-06 21:51	132,242	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2008-06-06 21:49 . 2008-06-06 21:49	14,901,760	--a------	C:\WINDOWS\AntiVir 2008.exe
2008-06-06 20:04 . 2008-06-06 20:13	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-06-05 23:12 . 2008-06-05 23:12	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-06-05 22:09 . 2008-06-05 22:14	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-03 20:17 . 2008-06-03 20:18	<DIR>	d--------	C:\Programme\Google
2008-06-03 20:17 . 2008-06-09 21:53	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 20:11 . 2008-06-03 20:11	<DIR>	d--h-----	C:\WINDOWS\system32\GroupPolicy
2008-05-30 21:24 . 2008-05-30 21:24	5,883	--a------	C:\fw.htm
2008-05-21 12:46 . 2008-05-21 12:46	3,932,214	--a------	C:\WINDOWS\InvaderDark1280.bmp
2008-05-21 12:45 . 2008-05-21 12:45	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Stardock
2008-05-21 12:45 . 2003-02-26 22:27	36,864	--a------	C:\WINDOWS\system32\wbsys.dll
2008-05-21 12:45 . 2008-05-21 12:45	42	--a------	C:\WINDOWS\wb.ini
2008-05-20 10:45 . 2008-06-06 21:24	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-09 20:35	---------	d-----w	C:\Programme\Spyware Terminator
2008-06-09 20:20	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Spyware Terminator
2008-06-05 21:06	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-06-03 18:09	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-05-23 20:12	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-05-21 18:57	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-05-21 15:31	---------	d-----w	C:\Programme\Gemeinsame Dateien\Ahead
2008-05-21 09:55	98,304	----a-w	C:\WINDOWS\DUMP345e.tmp
2008-05-02 11:38	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-05-02 11:38	---------	d-----w	C:\Programme\Gemeinsame Dateien\AccSys
2008-05-02 11:38	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AccSys
2007-11-26 23:10	3,932	----a-w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMLayout.dat
2007-11-26 23:10	268	----a-w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMCPaper.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="f:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2006-07-13 18:54 36864]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 28160 C:\WINDOWS\KHALMNPR.Exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"wlconfig"="F:\WLAN Monitor\wlconfig.exe" [2007-08-31 12:40 1492536]
"ASUS Probe"="f:\asus\asus probe\AsusProb.exe" [2002-12-06 16:07 617984]
"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-03-05 21:24 2957824]
"Acrobat Assistant 8.0"="F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
F:\AlienGUIse\fastload.dll 2001-12-20 23:34 24576 F:\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Skype\\Phone\\Skype.exe"=
"E:\\Age of Empires\\empires2.exe"=
"F:\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"D:\\eMule.de\\emule.exe"=
"C:\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"F:\\ICQLiteICQ6\\ICQ.exe"=
"E:\\volley\\volley.exe"=
"F:\\SmartFTP Client\\SmartFTP.exe"=
"f:\\FlashFXP\\FlashFXP.exe"=
"E:\\Counter - Strike - Zero\\czero.exe"=
"E:\\Medal - of - Honor\\MOHAA.exe"=
"E:\\Quake - 3\\Quake III\\QUAKE3\\quake3.exe"=
"E:\\Need - for - Speed - Underground - 1\\speed.exe"=
"F:\\iTunes\\iTunes.exe"=
"F:\\Zattoo\\zattood.exe"=
"F:\\Zattoo\\Zattoo1.exe"=
"E:\\Cossacks - Back To War\\dmcr.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"E:\\Age of Empires III\\age3.exe"=
"F:\\Gamez2\\Delta Force\\dfbhdlc.exe"=
"F:\\Skype\\Skype.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-03-05 21:24]
R1 tvtool;tvtool;f:\TVTool\tvtool.sys [1996-04-03 20:33]
R2 accvssvc;AccSys WLAN Control Service;C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe [2007-08-29 18:07]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2007-05-07 13:43]
S3 ASUSHWIO;ASUSHWIO;C:\WINDOWS\system32\drivers\ASUSHWIO.sys []
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys []
S3 DT154_A02;T-Sinus 154data Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys []
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []
S3 w32n5223;w32n5223 Protocol Driver;C:\PROGRA~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77468c2c-c8a3-11da-98f2-000ea6748993}]
\Shell\AutoRun\command - L:\preinst.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CAB7B150-B41B-B8F0-F160-F2F006DD303D}]
C:\WINDOWS\system32\svshosts.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-03-25 12:07:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 17:40:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
F:\AlienGUIse\wbload.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
F:\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-11 17:43:23 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-11 15:43:10

              12 Verzeichnis(se),  2,318,340,096 Bytes frei
              16 Verzeichnis(se),  2,562,936,832 Bytes frei

159

und nun der log MIT der svshosts.exe

Code:

ATTFilter

ComboFix 08-06-10.5 - *** 2008-06-11 18:09:06.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.686 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-05-11 bis 2008-06-11  ))))))))))))))))))))))))))))))
.

2008-06-09 22:36 . 2008-06-11 18:03	<DIR>	d--------	C:\Programme\Crawler
2008-06-09 22:00 . 2008-06-11 18:05	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-06-06 21:51 . 2008-06-06 21:51	132,242	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2008-06-06 21:49 . 2008-06-06 21:49	14,901,760	--a------	C:\WINDOWS\AntiVir 2008.exe
2008-06-06 20:04 . 2008-06-06 20:13	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-06-05 23:12 . 2008-06-05 23:12	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-06-05 22:09 . 2008-06-05 22:14	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-03 20:17 . 2008-06-03 20:18	<DIR>	d--------	C:\Programme\Google
2008-06-03 20:17 . 2008-06-09 21:53	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 20:11 . 2008-06-03 20:11	<DIR>	d--h-----	C:\WINDOWS\system32\GroupPolicy
2008-05-30 21:24 . 2008-05-30 21:24	5,883	--a------	C:\fw.htm
2008-05-21 12:46 . 2008-05-21 12:46	3,932,214	--a------	C:\WINDOWS\InvaderDark1280.bmp
2008-05-21 12:45 . 2008-05-21 12:45	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Stardock
2008-05-21 12:45 . 2003-02-26 22:27	36,864	--a------	C:\WINDOWS\system32\wbsys.dll
2008-05-21 12:45 . 2008-05-21 12:45	42	--a------	C:\WINDOWS\wb.ini
2008-05-20 10:45 . 2008-06-06 21:24	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-09 20:35	---------	d-----w	C:\Programme\Spyware Terminator
2008-06-09 20:20	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Spyware Terminator
2008-06-05 21:06	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-06-03 18:09	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-05-23 20:12	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-05-21 18:57	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-05-21 15:31	---------	d-----w	C:\Programme\Gemeinsame Dateien\Ahead
2008-05-21 09:55	98,304	----a-w	C:\WINDOWS\DUMP345e.tmp
2008-05-02 17:18	3,930	----a-w	C:\WINDOWS\system32\ealregsnapshot1.reg
2008-05-02 11:38	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-05-02 11:38	---------	d-----w	C:\Programme\Gemeinsame Dateien\AccSys
2008-05-02 11:38	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AccSys
2007-11-26 23:10	3,932	----a-w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMLayout.dat
2007-11-26 23:10	268	----a-w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMCPaper.dat
2001-08-18 12:00	15,184,335	--sha-w	C:\WINDOWS\system32\svshosts.exe
.

(((((((((((((((((((((((((((((   snapshot@2008-06-11_17.42.58.29   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-11 15:40:30	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
+ 2008-06-11 16:07:37	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
- 2008-06-11 15:40:33	219,207	----a-w	C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2008-06-11 16:07:41	219,203	----a-w	C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2008-06-11 15:58:24	16,384	----atw	C:\WINDOWS\Temp\Perflib_Perfdata_740.dat
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="f:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2006-07-13 18:54 36864]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 28160 C:\WINDOWS\KHALMNPR.Exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"wlconfig"="F:\WLAN Monitor\wlconfig.exe" [2007-08-31 12:40 1492536]
"ASUS Probe"="f:\asus\asus probe\AsusProb.exe" [2002-12-06 16:07 617984]
"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-03-05 21:24 2957824]
"Acrobat Assistant 8.0"="F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\robin\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech Desktop Messenger.lnk - F:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2006-07-13 18:54:36 196608]
Logitech SetPoint.lnk - F:\Logitech\SetPoint\SetPoint.exe [2006-04-09 14:25:40 528384]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
F:\AlienGUIse\fastload.dll 2001-12-20 23:34 24576 F:\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Skype\\Phone\\Skype.exe"=
"E:\\Age of Empires\\empires2.exe"=
"F:\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"D:\\eMule.de\\emule.exe"=
"C:\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"F:\\ICQLiteICQ6\\ICQ.exe"=
"E:\\volley\\volley.exe"=
"F:\\SmartFTP Client\\SmartFTP.exe"=
"f:\\FlashFXP\\FlashFXP.exe"=
"E:\\Counter - Strike - Zero\\czero.exe"=
"E:\\Medal - of - Honor\\MOHAA.exe"=
"E:\\Quake - 3\\Quake III\\QUAKE3\\quake3.exe"=
"E:\\Need - for - Speed - Underground - 1\\speed.exe"=
"F:\\iTunes\\iTunes.exe"=
"F:\\Zattoo\\zattood.exe"=
"F:\\Zattoo\\Zattoo1.exe"=
"E:\\Cossacks - Back To War\\dmcr.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"E:\\Age of Empires III\\age3.exe"=
"F:\\Gamez2\\Delta Force\\dfbhdlc.exe"=
"F:\\Skype\\Skype.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-03-05 21:24]
R1 tvtool;tvtool;f:\TVTool\tvtool.sys [1996-04-03 20:33]
R2 accvssvc;AccSys WLAN Control Service;C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe [2007-08-29 18:07]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2007-05-07 13:43]
S3 ASUSHWIO;ASUSHWIO;C:\WINDOWS\system32\drivers\ASUSHWIO.sys []
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys []
S3 DT154_A02;T-Sinus 154data Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys []
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []
S3 w32n5223;w32n5223 Protocol Driver;C:\PROGRA~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77468c2c-c8a3-11da-98f2-000ea6748993}]
\Shell\AutoRun\command - L:\preinst.exe

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CAB7B150-B41B-B8F0-F160-F2F006DD303D}]
C:\WINDOWS\system32\svshosts.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-03-25 12:07:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 18:10:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-11 18:10:46
ComboFix-quarantined-files.txt  2008-06-11 16:10:43
ComboFix2.txt  2008-06-11 15:43:23

              12 Verzeichnis(se),  2,568,708,096 Bytes frei
              15 Verzeichnis(se),  2,559,217,664 Bytes frei

139

vielen dank wie immer im voraus

HiJackThis Log-File auswertung

Log-Analyse und Auswertung: HiJackThis Log-File auswertung