wmsncs.exe 2x auf dem PC

Zibbo · 15.06.2008, 09:50

ich habe seit gestern ein dickes problem. wahrscheinlich liegt es an der im titel genannten datei.
ständig bricht die verbindung zum internet und zum usb drucker ab. ein scann mit antivir hat nur teilweise erfolg gehabt. ein paar sachen hat das tool entfernt, die wmsncs.exe war bis zu 8x auf meinem rechner. die beiden letzten sollten nach dem neustart entfernt werden, sind sie aber nicht. eine liegt in laut HijackThis in:
O4-HKLM\..\Run:[NvidMediaCenter]D:\Programme\Gemeinsame Dateien\System\wmsncs.exe

F2-REG:system.ini:Shell=explorer.exe"D:\WINDOWS\Fonts\wmsncs.exe"

und mein schirm von antivir im task ist seit tagen zu.

kann mir jemand helfen???

grüße

Chris4You · 15.06.2008, 10:17

Hi,

das ist ein Backdoor, daher liegt es nahe neu aufzusetzen!
Malware.Trojan.Backdoor.Gen Prevx

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Zitat:

D:\Programme\Gemeinsame Dateien\System\wmsncs.exe
D:\WINDOWS\Fonts \wmsncs.exe

KILLBOX - Pocket KillBox
Killbox - Pocket KillBox

Options: Delete on Reboot --> anhaken
reinkopieren:
D:\Programme\Gemeinsame Dateien\System\wmsncs.exe
D:\WINDOWS\Fonts \wmsncs.exe
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

ComboFix
(http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in dem Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst friert dein Rechner ein. Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Poste es zusammen mit einem neuen Log von HijackThis.

chris

Zibbo · 15.06.2008, 11:12

das mit dem PREVX CSI klappt nicht. weil nach ein paar minuten die inet verbindung tot ist am pc....
geht das nicht offline?

mit neu aufsetzen meinst du nicht wirklich neu aufsetzen?? neuinstallieren??? das wäre eine katastrophe

Zibbo · 15.06.2008, 12:17

teil1 combolog

ComboFix 08-06-12.2 - Admin 2008-06-15 12:37:41.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1514 [GMT 2:00]
ausgeführt von:: J:\appleJuice\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Dokumente und Einstellungen\Admin\Favoriten\Online Security Test.url
D:\WINDOWS\Downloaded Program Files\egauth.inf
D:\WINDOWS\Fonts\acrsecB.fon
D:\WINDOWS\Fonts\acrsecI.fon
D:\WINDOWS\Fonts\CALIBRIB.TTF
D:\WINDOWS\smdat32m.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF

((((((((((((((((((((((( Dateien erstellt von 2008-05-15 bis 2008-06-15 ))))))))))))))))))))))))))))))
.

2061-03-09 16:35 . 2061-03-09 16:35 3,120 --a------ D:\WINDOWS\MF_C421.lfa
2061-03-09 16:35 . 2061-03-09 16:35 3,120 --a------ D:\WINDOWS\MF_C420.lfa
2008-06-15 12:19 . 2008-06-15 12:22 <DIR> d-------- D:\!KillBox
2008-06-15 11:47 . 2008-06-15 11:47 <DIR> d-------- D:\Programme\PrevxCSI
2008-06-15 11:47 . 2008-06-15 12:00 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2008-06-15 11:47 . 2008-06-15 11:47 17,408 --a------ D:\WINDOWS\system32\drivers\pxark.sys
2008-06-15 00:46 . 2008-06-15 00:46 <DIR> d-------- D:\Programme\Avira
2008-06-04 18:46 . 2008-06-04 18:46 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic
2008-06-04 18:46 . 2008-06-04 18:46 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-06-04 18:43 . 2008-06-08 09:40 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Roxio Shared
2008-06-04 18:43 . 2008-06-08 09:39 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roxio
2008-06-04 18:36 . 2008-06-04 18:36 <DIR> d-------- D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Blackberry Desktop
2008-06-04 18:36 . 2007-01-18 10:24 26,496 -ra------ D:\WINDOWS\system32\drivers\RimSerial.sys
2008-05-24 11:45 . 2008-05-24 11:45 <DIR> d-------- D:\Program Files

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-15 10:55 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-06-15 10:54 --------- d-----w D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
2008-06-15 10:30 --------- d-----w D:\Programme\Lx_cats
2008-06-14 22:46 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-14 09:51 --------- d-----w D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\VMware
2008-06-10 22:05 189,990 --sh--r D:\WINDOWS\Fonts\wmsncs.exe
2008-06-10 16:16 --------- d--h--w D:\Programme\InstallShield Installation Information
2008-06-10 15:11 --------- d-----w D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TwonkyMedia
2008-05-19 10:48 --------- d-----w D:\Programme\Lexmark 5400 Series
2008-05-09 20:03 --------- d-----w D:\Programme\Gemeinsame Dateien\Adobe
2008-05-09 20:01 --------- d-----w D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\AdobeUM
2008-05-06 19:42 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-04 22:42 --------- d-----w D:\Programme\PokerStars
2008-04-30 09:21 --------- d-----w D:\Programme\Apple Software Update
2008-04-26 09:28 --------- d-----w D:\Programme\FinePixViewer
2008-04-22 16:03 --------- d-----w D:\Programme\1pw
2008-04-19 21:23 --------- d-----w D:\Programme\iTunes
2008-04-19 21:22 --------- d-----w D:\Programme\QuickTime
2008-04-19 21:22 --------- d-----w D:\Programme\iPod
2008-04-19 21:22 --------- d-----w D:\Programme\Bonjour
2008-04-19 21:21 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-19 21:20 --------- d-----w D:\Programme\Gemeinsame Dateien\Apple
2008-04-19 21:20 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-04-19 17:12 --------- d-----w D:\Programme\NeroInstall.bak
2008-04-19 17:01 --------- d-----w D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Nero
2008-04-19 17:00 --------- d-----w D:\Programme\Gemeinsame Dateien\Nero
2008-04-19 16:56 --------- d-----w D:\Programme\Nero
2008-04-19 16:56 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-04-19 15:37 --------- d-----w D:\Programme\eMule
2008-04-19 14:37 --------- d-----w D:\Programme\Gemeinsame Dateien\Ahead
2008-04-19 14:27 --------- d-----w D:\Programme\AskTBar
2008-04-19 08:59 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-04-19 08:52 --------- d-----w D:\Programme\Orb Networks
2008-04-18 18:07 --------- d-----w D:\Programme\TwonkyMedia
2008-04-18 15:48 --------- d-----w D:\Programme\wizdxp
2008-04-17 18:06 --------- d-----w D:\Programme\UnrealStreaming
2008-04-17 18:06 --------- d-----w D:\Programme\Gemeinsame Dateien\Unreal Streaming
2008-04-17 16:50 --------- d-----w D:\Dokumente und Einstellungen\test\Anwendungsdaten\5400 Series
2007-11-30 10:29 32 ----a-w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-06-12 10:17 37 -c--a-w D:\Dokumente und Einstellungen\Admin\getfile.dat
2005-03-27 16:13 1,260 -c--a-w D:\Programme\INSTALL.LOG
2004-03-11 12:27 40,960 ----a-w D:\Programme\Uninstall_CDS.exe
2005-05-13 16:12 217,073 --sha-r D:\WINDOWS\meta4.exe
2005-10-24 10:13 66,560 --sha-r D:\WINDOWS\MOTA113.exe
2005-10-13 20:27 422,400 --sha-r D:\WINDOWS\x2.64.exe
2005-10-07 17:14 308,224 --sha-r D:\WINDOWS\system32\avisynth.dll
2005-07-14 11:31 27,648 --sha-r D:\WINDOWS\system32\AVSredirect.dll
2005-06-26 14:32 616,448 --sha-r D:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r D:\WINDOWS\system32\cygz.dll
2007-07-22 16:51 5 --sha-w D:\WINDOWS\system32\eaceeace_g.dll
2004-01-24 22:00 70,656 --sha-r D:\WINDOWS\system32\i420vfw.dll
2006-04-27 09:24 2,945,024 --sha-r D:\WINDOWS\system32\Smab.dll
2005-02-28 12:16 240,128 --sha-r D:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r D:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="D:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"STYLEXP"="D:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2005-07-07 01:52 1359872]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2005-12-10 04:06 7311360]
"PinnacleDriverCheck"="D:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 00:26 406016]
"lxctmon.exe"="D:\Programme\Lexmark 5400 Series\lxctmon.exe" [2006-11-22 11:11 291760]
"Lexmark 5400 Series Fax Server"="D:\Programme\Lexmark 5400 Series\fm3032.exe" [2006-11-22 11:12 304048]
"EzPrint"="D:\Programme\Lexmark 5400 Series\ezprint.exe" [2006-11-22 11:11 82864]
"LXCTCATS"="D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-11-21 14:27 106496]
"CloneCDTray"="D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"NeroFilterCheck"="D:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 09:59 570664]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"NvidMediaCenter"="D:\Programme\Gemeinsame Dateien\System\wmsncs.exe" [2008-06-11 00:05 189990]
"Spool Driver Service"="D:\WINDOWS\system32\spool\drivers\wmsncs.exe" [2008-06-11 00:05 189990]
"Wins Service"="D:\WINDOWS\system32\wins\wmsncs.exe" [2008-06-11 00:05 189990]
"Wmsncs Service"="D:\WINDOWS\Fonts\wmsncs.exe" [2008-06-11 00:05 189990]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Symantec Network Driver Update Warning"="D:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE" [2004-04-30 18:02 91256]
"Wmsncs Service"="D:\WINDOWS\Fonts\wmsncs.exe" [2008-06-11 00:05 189990]
"Wins Service"="D:\WINDOWS\system32\wins\wmsncs.exe" [2008-06-11 00:05 189990]
"NvidMediaCenter"="D:\Programme\Gemeinsame Dateien\System\wmsncs.exe" [2008-06-11 00:05 189990]
"Spool Driver Service"="D:\WINDOWS\system32\spool\drivers\wmsncs.exe" [2008-06-11 00:05 189990]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"HideShutdownScripts"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="explorer.exe \"D:\\WINDOWS\\Fonts\\wmsncs.exe\""
"UIHost"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 2006-02-24 12:00 8704 D:\WINDOWS\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll
"VIDC.I420"= i420vfw.dll
"vidc.xvid"= xvid.dll
"MSACM.CEGSM"= mobilev.acm
"VIDC.MJPX"= PICVideo MJPEG Codec
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Alarm.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\AntiSpyWare2Guard.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\armor2net.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ASECMON.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avguard.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\AvTask.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdmcon.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\BLINK.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\BULLGUARD.EXE]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caavguiscan.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfp.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\CHTRAY.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\CMain.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DefencePlus.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DefenseWall.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DriveSentry.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drweb32w.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DSA.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\egui.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\EQSpyWatch.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\EQSysSecure.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FilMsg.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FIREWALL.EXE]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FirewallGUI.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\forcefield.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FwGUI.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\GHOSTWALL.EXE]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\gss.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ISWMGR.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\jpf.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\kav.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\kavmm.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KPF4SS.EXE]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\LOOKNSTOP.EXE]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\mks2006.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\MSASCui.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NCDSGUI.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Neoava.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\nortonantibot.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\oaui.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\OnlineNT.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\OSMon.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\outpost.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\pavjobs.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\pgaccount.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\PolicyDeveloper.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\PXCONSOLE.EXE]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\R-Firewall.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Returnil.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RgView.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Rtvscan.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RuleEditor.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Rvsystem.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SANASAFECONNECT.EXE]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SimpMsg.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SnoopFreeUI.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ssystem.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SteelSecurity.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\TavSn.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\wehntrust.exe]
Debugger=cmdl32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\xfilter.exe]
Debugger=cmdl32

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^dboxwinsvr.lnk]
path=D:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\dboxwinsvr.lnk
backup=D:\WINDOWS\pss\dboxwinsvr.lnkStartup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Y'z Toolbar.lnk]
path=D:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\Y'z Toolbar.lnk
backup=D:\WINDOWS\pss\Y'z Toolbar.lnkStartup

Zibbo · 15.06.2008, 12:18

teil2 combolog

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=D:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^EPSON Status Monitor 3 Environment Check 2.lnk]
path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EPSON Status Monitor 3 Environment Check 2.lnk
backup=D:\WINDOWS\pss\EPSON Status Monitor 3 Environment Check 2.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Exif Launcher 2.lnk]
path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Exif Launcher 2.lnk
backup=D:\WINDOWS\pss\Exif Launcher 2.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RAMASST.lnk]
path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\RAMASST.lnk
backup=D:\WINDOWS\pss\RAMASST.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Telefonverbindungsmonitor.lnk]
path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Telefonverbindungsmonitor.lnk
backup=D:\WINDOWS\pss\Telefonverbindungsmonitor.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^wmsncs.exe]
path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wmsncs.exe
backup=D:\WINDOWS\pss\wmsncs.exeCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Admanager Controller]
D:\Program Files\Admanager Controller\AdManCtl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Hotkey]
D:\Programme\ASUS\ASUS Hotkey V1.0.1\AHOTKEY.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Probe]
--a------ 2001-12-17 21:22 617984 C:\Program Files\ASUS\Probe\AsusProb.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BeFaster]
D:\Programme\BeFaster\befaster3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
D:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BTUSRBDG]
--a------ 2002-02-20 18:14 53248 D:\WINDOWS\system32\BtUsrBdg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 00:57 15360 D:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ElbyCheckElbyCDFL]
D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager]
--a------ 2006-08-21 00:24 2068527 D:\Programme\Free Download Manager\fdm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\freenetiPhone]
d:\programme\freenetiphone\iPhoneStarter.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gcasServ]
--a--c--- 2004-12-31 17:14 469824 D:\Programme\Microsoft AntiSpyware\gcasServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2007-08-24 08:00 33648 D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 13:50 1289000 D:\Programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 D:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
D:\Programme\Internet Download Manager\IDMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
D:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 D:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAVPersonal50]
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA]
D:\Programme\Kazaa\Kazaa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
D:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
D:\PROGRA~1\ICQ\ICQNet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 D:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
D:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\muBlinder]
D:\Dokumente und Einstellungen\Admin\Desktop\muBlinder\muBlinder.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2008-02-18 16:29 2221352 D:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
D:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2005-12-10 04:06 7311360 D:\WINDOWS\System32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvidMediaCenter]
-r-hs---- 2008-06-11 00:05 189990 D:\Programme\Gemeinsame Dateien\System\wmsncs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-12-10 04:06 1519616 D:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PAS]
D:\Programme\PAS\pas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pdfFactory Pro Dispatcher v2]
--a--c--- 2004-03-06 10:37 393216 D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--a------ 2004-03-11 00:26 406016 D:\WINDOWS\System32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 D:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RAM_DEFRAG]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Realtime Audio Engine]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE]
--------- 2002-02-04 23:32 53248 D:\Programme\REGSHAVE\REGSHAVE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a--c--- 2003-12-08 18:35 32768 D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SIDEBAR]
--a------ 2004-09-04 14:57 1126400 D:\Programme\Desktop Sidebar\dsidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
D:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spool Driver Service]
-r-hs---- 2008-06-11 00:05 189990 D:\WINDOWS\system32\spool\drivers\wmsncs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
--a------ 2005-07-07 01:52 1359872 D:\Programme\TGTSoft\StyleXP\StyleXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-07-12 04:00 132496 D:\Programme\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]
D:\Programme\Macrogaming\SweetIM\SweetIM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-01-29 21:04 185896 D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebcastTuner]
D:\Programme\SES\CB\webcasttuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
D:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFast Schedule]
D:\Programme\WinFast\WFTVFM\WFWIZ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wins Service]
-r-hs---- 2008-06-11 00:05 189990 D:\WINDOWS\system32\wins\wmsncs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wmsncs Service]
-r-hs---- 2008-06-11 00:05 189990 D:\WINDOWS\Fonts\wmsncs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"awhost32"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Messenger\\msmsgs.exe"=
"D:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"=
"D:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\Programme\Microsoft ActiveSync\rapimgr.exe"= D:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"D:\Programme\Microsoft ActiveSync\wcescomm.exe"= D:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"D:\Programme\Microsoft ActiveSync\WCESMgr.exe"= D:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"wmsncs.exe"= wmsncs.exe:SYSTEM

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 Achernar;Achernar - SCSI Command Filter Drivers;D:\WINDOWS\system32\Drivers\Achernar.sys [2006-02-06 12:44]
R0 pxark;pxark;D:\WINDOWS\system32\drivers\pxark.sys [2008-06-15 11:47]
R1 cpuidlep;CpuIdle Pro System Driver;D:\WINDOWS\system32\drivers\cpuidlep.sys [2007-05-19 12:12]
R1 sdpiosys;sdpiosys;D:\WINDOWS\system32\drivers\sdpiosys.sys [2004-11-30 12:10]
R2 CSIScanner;CSIScanner;"D:\Programme\PrevxCSI\prevxcsi.exe" /service []
R2 MarxDev1;MarxDev1;D:\WINDOWS\system32\drivers\MarxDev1.sys [2001-05-28 16:30]
R2 MarxDev2;MarxDev2;D:\WINDOWS\system32\drivers\MarxDev2.sys [2001-05-28 16:30]
R2 MarxDev3;MarxDev3;D:\WINDOWS\system32\drivers\MarxDev3.sys [2001-05-28 16:30]
R2 NET Runtime Optimization Service v2.1.41329_X86;NET Runtime Optimization Service v2.1.41329_X86;"D:\WINDOWS\Fonts\wmsncs.exe" [2008-06-11 00:05]
R2 SVKP;SVKP;D:\WINDOWS\System32\SVKP.sys [2003-12-07 04:55]
R2 Tdlpt;Tdlpt;D:\WINDOWS\System32\drivers\Tdlpt.sys [2001-10-16 12:58]
R2 UMediaServer;UMediaServer;D:\Programme\UnrealStreaming\UMediaServer\UMediaServer.exe [2007-11-27 11:30]
R2 vnccom;vnccom;D:\WINDOWS\system32\Drivers\vnccom.SYS [2005-06-13 12:42]
R3 Aldebaran;Aldebaran - SCSI Command Filter Drivers;D:\WINDOWS\system32\Drivers\Aldebaran.sys [2006-02-06 12:44]
R3 BTCOMM;BTCOMM;D:\WINDOWS\system32\drivers\Btcomm.sys [2002-02-20 18:14]
R3 BTKRNBDG;Bluetooth COM Bridge;D:\WINDOWS\system32\DRIVERS\btkrnbdg.sys [2002-02-20 18:14]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;D:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2006-03-14 03:22]
S2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;D:\WINDOWS\system32\drivers\wf88vcap.sys [2004-08-02 06:34]
S2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;D:\WINDOWS\system32\drivers\WF88XBAR.sys [2004-10-18 12:25]
S2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;D:\WINDOWS\system32\drivers\WF88TUNE.sys [2004-10-18 12:25]
S3 ASUSHWIO;ASUSHWIO;D:\WINDOWS\system32\drivers\ASUSHWIO.sys []
S3 AVerA700;A700 service;D:\WINDOWS\system32\DRIVERS\AVerBDA3x.sys [2006-09-12 09:25]
S3 AVerBDA;AVerBDA service;D:\WINDOWS\system32\DRIVERS\AVerBDA3x.sys [2006-09-12 09:25]
S3 AVerEth;AVerMedia Ethernet Adapter for MPE Service;D:\WINDOWS\system32\DRIVERS\AVerEth.sys [2006-09-08 10:01]
S3 CIADRVNT;CIADRVNT;D:\WINDOWS\system32\drivers\CIADRVNT.SYS []
S3 FTLUND;Lundinova Filter Driver;D:\WINDOWS\system32\drivers\ftlund.sys [2004-01-19 17:27]
S3 ids0004C;ids0004C;D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []
S3 mirrorv3;mirrorv3;D:\WINDOWS\system32\DRIVERS\rminiv3.sys [2006-11-01 06:01]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;D:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS []
S3 SPOTIGOSp50;SPOTIGOSp50 NDIS Protocol Driver;D:\WINDOWS\system32\Drivers\SPOTIGOSp50.sys []
S3 VLC media player;VLC media player;"D:\Programme\VideoLAN\VLC\vlc.exe" -I ntservice --ntservice-extraintf http []
S3 WFIOCTL;WFIOCTL;e:\Programme\WinFast\WFTVFM\WFIOCTL.SYS []
S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);D:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-08-03 16:55]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{103L3C30-C3B3-4130-9363-E59E1375PERM}]
D:\WINDOWS\Fonts\wmsncs.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-06-13 16:16:01 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- D:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-15 12:53:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

D:\WINDOWS\Fonts\wmsncs.exe [1552] 0x88DB2A20

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: D:\WINDOWS\explorer.exe
-> L:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\DockShellHook.dll
.
------------------------ Other Running Processes ------------------------
.
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\system32\bgsvcgen.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\WINDOWS\system32\lxctcoms.exe
D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
D:\Programme\Orb Networks\Orb\bin\OrbMediaService.exe
D:\WINDOWS\system32\IoctlSvc.exe
D:\Programme\Orb Networks\Orb\bin\OrbTray.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Programme\Orb Networks\Orb\bin\Orb.exe
D:\Programme\VMware\VMware Workstation\vmware-authd.exe
D:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
D:\WINDOWS\system32\vmnat.exe
D:\WINDOWS\system32\vmnetdhcp.exe
L:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-15 13:09:21 - machine was rebooted [Admin]
ComboFix-quarantined-files.txt 2008-06-15 11:09:10

15 Verzeichnis(se), 43,178,094,592 Bytes frei
19 Verzeichnis(se), 47,228,985,344 Bytes frei

508

Zibbo · 15.06.2008, 12:20

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:11:26, on 15.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\system32\bgsvcgen.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\PrevxCSI\prevxcsi.exe
D:\Programme\PrevxCSI\prevxcsi.exe
D:\WINDOWS\system32\lxctcoms.exe
D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
D:\Programme\Orb Networks\Orb\bin\OrbMediaService.exe
D:\WINDOWS\system32\IoctlSvc.exe
D:\Programme\Orb Networks\Orb\bin\OrbTray.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Orb Networks\Orb\bin\Orb.exe
D:\Programme\UnrealStreaming\UMediaServer\UMediaServer.exe
D:\Programme\VMware\VMware Workstation\vmware-authd.exe
D:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
D:\WINDOWS\system32\vmnat.exe
D:\WINDOWS\system32\vmnetdhcp.exe
D:\Programme\Lexmark 5400 Series\lxctmon.exe
D:\Programme\Lexmark 5400 Series\ezprint.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Windows Live\Messenger\MsnMsgr.Exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\System32\svchost.exe
L:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
D:\WINDOWS\explorer.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.werder-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h++p=localhost:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: Shell=explorer.exe "D:\WINDOWS\Fonts\wmsncs.exe"
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [lxctmon.exe] "D:\Programme\Lexmark 5400 Series\lxctmon.exe"
O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "D:\Programme\Lexmark 5400 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "D:\Programme\Lexmark 5400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCTCATS] rundll32 D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvidMediaCenter] D:\Programme\Gemeinsame Dateien\System\wmsncs.exe
O4 - HKLM\..\Run: [Spool Driver Service] D:\WINDOWS\system32\spool\drivers\wmsncs.exe
O4 - HKLM\..\Run: [Wins Service] D:\WINDOWS\system32\wins\wmsncs.exe
O4 - HKLM\..\Run: [Wmsncs Service] D:\WINDOWS\Fonts\wmsncs.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] D:\WINDOWS\system32\wins\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [NvidMediaCenter] D:\Programme\Gemeinsame Dateien\System\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] D:\WINDOWS\system32\spool\drivers\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = L:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: wmsncs.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Send To &Bluetooth - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h++p://service.maxdome.de/de/systemcheck/HWTest.CAB[/url]
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h++p://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199888575062
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h++p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199888555156
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h++p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - h++p://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - h++p://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49708F59-DEFB-4DC9-9E3A-1EEF58E0491C}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - D:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe (file missing)
O23 - Service: CSIScanner - Prevx - D:\Programme\PrevxCSI\prevxcsi.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - D:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - D:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: lxct_device - - D:\WINDOWS\system32\lxctcoms.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OrbMediaService - Orb Networks - D:\Programme\Orb Networks\Orb\bin\OrbMediaService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - D:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - D:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TVersityMediaServer - Unknown owner - D:\Programme\TVersity\Media Server\MediaServer.exe
O23 - Service: UMediaServer - Unreal Streaming Technologies. - D:\Programme\UnrealStreaming\UMediaServer\UMediaServer.exe
O23 - Service: VLC media player - Unknown owner - D:\Programme\VideoLAN\VLC\vlc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - D:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - D:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - D:\WINDOWS\system32\vmnat.exe

--
End of file - 12421 bytes

Silent sharK · 15.06.2008, 13:25

Hallo Zibbo,
benutzt du Filesharing-programme?
Wenn ja, brauchst du dich nicht wundern, das du sowas wie wmsncs.exe auf'm Rechner hast

Unbedingt die Finger von den Dingern lassen!

Zibbo · 15.06.2008, 14:44

nein, nutzen tue ich das nicht was installiert ist. wenn ich sowas nutze dann über vmware

Silent sharK · 15.06.2008, 15:13

Dann installier doch sowas erst garnicht

Zibbo · 15.06.2008, 16:33

vielen dank für deinen elterlichen rat. aber der war im moment nicht gefragt und weicht etwas vom hier beschriebenen problem ab.

trotzdem danke

KarlKarl · 15.06.2008, 19:05

Hi,

das Problem ist, dass dein System von dieser Datei geflutet ist. Im Titel schreibst du "2x auf dem PC", sie ist aber viel öfter da, sieh einfach mal die Logs selber durch. Du wurdest oben schon gebeten, diese Dateien mal bei VirusTotal scannen zu lassen. Das ist deine einzige Chance herauszubekommen, ob sie vielleicht was (relativ) harmloses sind. Ohne einen entsprechenden Befund von dort muss man davon ausgehen, dass dein Rechner von einem Backdoorserver kontrolliert wird und einfach nicht mehr dein Rechner ist, da hilft dann nur neu installieren. Die vorhandenen Fakten aus den Logs sagen aber, dass Du kaum Grund zur Hoffnung hast: Diese wmsncs.exe läuft als versteckter Prozess und hat sich in der Firewall eine Freigabe gegeben. Sie hat sich extrem tief in dein System eingebaut, so ziemlich jede versteckte Startmöglichkeit nutzt sie auch.

außerdem musst du dich mal auf die Suche machen nach etwas was cmdl32* heißt. Dass die als Debugger eingetrsagen ist, dürfte die nächste Katastrophe sein. Es gibt zwar eine Microsoftdatei cmdl32.exe, aber dies wird was anderes sein.

Gruß, Karl

Zibbo · 16.06.2008, 00:03

ja dashört sich ja sch**e an. konnte bei virustotal nicht scannen da meine verbindungen immer abrissen. hab jetzt mein jüngeres image wieder drauf gespielt. wie kann man da vorsorgen? kam eigentlich sehr plötzlich. in den letzten tagen hab ich auch nichts schlimmes gemacht, denk ich mal. auf dem rechner hab ich nur antivir drauf. hatte mal mit aktiveX rumgemacht im browser, wegen irgendeiner website die das wollte. sollte ich noch eine extra firewall installieren? wenn ja welche kostenlose möglichkeit habe ich. habe im router eine aktive.

KarlKarl · 16.06.2008, 03:52

Den Onlinescan hätte ich ja gerne gesehen.

In den Filesharingnetzen werden viele üble Seuchen verbreitet. Gerade auch welche, die neu entwickelt wurden und die erste Zeit von den üblichen Virenscannern nicht erkannt werden. auch wenn du die P2P-Software in einer VM laufen lässt könnte es schließlich sein, dass Du die eine oder andere runtergeladene Datei außerhalb von ihr startet. Genau wissen kann ich es nicht, aber ich vermute schon was in der Richtung als den Hauptgrund.

Mit Antivir hast Du einen der besten Virenscanner, die es gibt. aber der und der router können gegen leichtsinniges Benutzerverhalten nun mal nicht schützen, das wäre zuviel von ihnen erwartet.

wmsncs.exe 2x auf dem PC

Plagegeister aller Art und deren Bekämpfung: wmsncs.exe 2x auf dem PC