|
Plagegeister aller Art und deren Bekämpfung: wmsncs.exe 2x auf dem PCWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.06.2008, 09:50 | #1 |
| wmsncs.exe 2x auf dem PC ich habe seit gestern ein dickes problem. wahrscheinlich liegt es an der im titel genannten datei. ständig bricht die verbindung zum internet und zum usb drucker ab. ein scann mit antivir hat nur teilweise erfolg gehabt. ein paar sachen hat das tool entfernt, die wmsncs.exe war bis zu 8x auf meinem rechner. die beiden letzten sollten nach dem neustart entfernt werden, sind sie aber nicht. eine liegt in laut HijackThis in: O4-HKLM\..\Run:[NvidMediaCenter]D:\Programme\Gemeinsame Dateien\System\wmsncs.exe F2-REG:system.ini:Shell=explorer.exe"D:\WINDOWS\Fonts\wmsncs.exe" und mein schirm von antivir im task ist seit tagen zu. kann mir jemand helfen??? grüße |
15.06.2008, 10:17 | #2 | |
| wmsncs.exe 2x auf dem PC Hi,
__________________das ist ein Backdoor, daher liegt es nahe neu aufzusetzen! Malware.Trojan.Backdoor.Gen Prevx virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan Zitat:
Killbox - Pocket KillBox Options: Delete on Reboot --> anhaken reinkopieren: D:\Programme\Gemeinsame Dateien\System\wmsncs.exe D:\WINDOWS\Fonts \wmsncs.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten ComboFix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in dem Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst friert dein Rechner ein. Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt ) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Poste es zusammen mit einem neuen Log von HijackThis. chris
__________________ |
15.06.2008, 11:12 | #3 |
| wmsncs.exe 2x auf dem PC das mit dem PREVX CSI klappt nicht. weil nach ein paar minuten die inet verbindung tot ist am pc....
__________________geht das nicht offline? mit neu aufsetzen meinst du nicht wirklich neu aufsetzen?? neuinstallieren??? das wäre eine katastrophe Geändert von Zibbo (15.06.2008 um 11:27 Uhr) |
15.06.2008, 12:17 | #4 |
| wmsncs.exe 2x auf dem PC teil1 combolog ComboFix 08-06-12.2 - Admin 2008-06-15 12:37:41.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1514 [GMT 2:00] ausgeführt von:: J:\appleJuice\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ADS - svchost.exe: deleted 68 bytes in 1 streams. (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . D:\Dokumente und Einstellungen\Admin\Favoriten\Online Security Test.url D:\WINDOWS\Downloaded Program Files\egauth.inf D:\WINDOWS\Fonts\acrsecB.fon D:\WINDOWS\Fonts\acrsecI.fon D:\WINDOWS\Fonts\CALIBRIB.TTF D:\WINDOWS\smdat32m.sys . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Service_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-05-15 bis 2008-06-15 )))))))))))))))))))))))))))))) . 2061-03-09 16:35 . 2061-03-09 16:35 3,120 --a------ D:\WINDOWS\MF_C421.lfa 2061-03-09 16:35 . 2061-03-09 16:35 3,120 --a------ D:\WINDOWS\MF_C420.lfa 2008-06-15 12:19 . 2008-06-15 12:22 <DIR> d-------- D:\!KillBox 2008-06-15 11:47 . 2008-06-15 11:47 <DIR> d-------- D:\Programme\PrevxCSI 2008-06-15 11:47 . 2008-06-15 12:00 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI 2008-06-15 11:47 . 2008-06-15 11:47 17,408 --a------ D:\WINDOWS\system32\drivers\pxark.sys 2008-06-15 00:46 . 2008-06-15 00:46 <DIR> d-------- D:\Programme\Avira 2008-06-04 18:46 . 2008-06-04 18:46 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic 2008-06-04 18:46 . 2008-06-04 18:46 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield 2008-06-04 18:43 . 2008-06-08 09:40 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Roxio Shared 2008-06-04 18:43 . 2008-06-08 09:39 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roxio 2008-06-04 18:36 . 2008-06-04 18:36 <DIR> d-------- D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Blackberry Desktop 2008-06-04 18:36 . 2007-01-18 10:24 26,496 -ra------ D:\WINDOWS\system32\drivers\RimSerial.sys 2008-05-24 11:45 . 2008-05-24 11:45 <DIR> d-------- D:\Program Files . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-15 10:55 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware 2008-06-15 10:54 --------- d-----w D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware 2008-06-15 10:30 --------- d-----w D:\Programme\Lx_cats 2008-06-14 22:46 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-06-14 09:51 --------- d-----w D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\VMware 2008-06-10 22:05 189,990 --sh--r D:\WINDOWS\Fonts\wmsncs.exe 2008-06-10 16:16 --------- d--h--w D:\Programme\InstallShield Installation Information 2008-06-10 15:11 --------- d-----w D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TwonkyMedia 2008-05-19 10:48 --------- d-----w D:\Programme\Lexmark 5400 Series 2008-05-09 20:03 --------- d-----w D:\Programme\Gemeinsame Dateien\Adobe 2008-05-09 20:01 --------- d-----w D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\AdobeUM 2008-05-06 19:42 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-05-04 22:42 --------- d-----w D:\Programme\PokerStars 2008-04-30 09:21 --------- d-----w D:\Programme\Apple Software Update 2008-04-26 09:28 --------- d-----w D:\Programme\FinePixViewer 2008-04-22 16:03 --------- d-----w D:\Programme\1pw 2008-04-19 21:23 --------- d-----w D:\Programme\iTunes 2008-04-19 21:22 --------- d-----w D:\Programme\QuickTime 2008-04-19 21:22 --------- d-----w D:\Programme\iPod 2008-04-19 21:22 --------- d-----w D:\Programme\Bonjour 2008-04-19 21:21 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-04-19 21:20 --------- d-----w D:\Programme\Gemeinsame Dateien\Apple 2008-04-19 21:20 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-04-19 17:12 --------- d-----w D:\Programme\NeroInstall.bak 2008-04-19 17:01 --------- d-----w D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Nero 2008-04-19 17:00 --------- d-----w D:\Programme\Gemeinsame Dateien\Nero 2008-04-19 16:56 --------- d-----w D:\Programme\Nero 2008-04-19 16:56 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero 2008-04-19 15:37 --------- d-----w D:\Programme\eMule 2008-04-19 14:37 --------- d-----w D:\Programme\Gemeinsame Dateien\Ahead 2008-04-19 14:27 --------- d-----w D:\Programme\AskTBar 2008-04-19 08:59 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks 2008-04-19 08:52 --------- d-----w D:\Programme\Orb Networks 2008-04-18 18:07 --------- d-----w D:\Programme\TwonkyMedia 2008-04-18 15:48 --------- d-----w D:\Programme\wizdxp 2008-04-17 18:06 --------- d-----w D:\Programme\UnrealStreaming 2008-04-17 18:06 --------- d-----w D:\Programme\Gemeinsame Dateien\Unreal Streaming 2008-04-17 16:50 --------- d-----w D:\Dokumente und Einstellungen\test\Anwendungsdaten\5400 Series 2007-11-30 10:29 32 ----a-w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2005-06-12 10:17 37 -c--a-w D:\Dokumente und Einstellungen\Admin\getfile.dat 2005-03-27 16:13 1,260 -c--a-w D:\Programme\INSTALL.LOG 2004-03-11 12:27 40,960 ----a-w D:\Programme\Uninstall_CDS.exe 2005-05-13 16:12 217,073 --sha-r D:\WINDOWS\meta4.exe 2005-10-24 10:13 66,560 --sha-r D:\WINDOWS\MOTA113.exe 2005-10-13 20:27 422,400 --sha-r D:\WINDOWS\x2.64.exe 2005-10-07 17:14 308,224 --sha-r D:\WINDOWS\system32\avisynth.dll 2005-07-14 11:31 27,648 --sha-r D:\WINDOWS\system32\AVSredirect.dll 2005-06-26 14:32 616,448 --sha-r D:\WINDOWS\system32\cygwin1.dll 2005-06-21 21:37 45,568 --sha-r D:\WINDOWS\system32\cygz.dll 2007-07-22 16:51 5 --sha-w D:\WINDOWS\system32\eaceeace_g.dll 2004-01-24 22:00 70,656 --sha-r D:\WINDOWS\system32\i420vfw.dll 2006-04-27 09:24 2,945,024 --sha-r D:\WINDOWS\system32\Smab.dll 2005-02-28 12:16 240,128 --sha-r D:\WINDOWS\system32\x.264.exe 2004-01-24 22:00 70,656 --sha-r D:\WINDOWS\system32\yv12vfw.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="D:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184] "STYLEXP"="D:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2005-07-07 01:52 1359872] "ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2005-12-10 04:06 7311360] "PinnacleDriverCheck"="D:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 00:26 406016] "lxctmon.exe"="D:\Programme\Lexmark 5400 Series\lxctmon.exe" [2006-11-22 11:11 291760] "Lexmark 5400 Series Fax Server"="D:\Programme\Lexmark 5400 Series\fm3032.exe" [2006-11-22 11:12 304048] "EzPrint"="D:\Programme\Lexmark 5400 Series\ezprint.exe" [2006-11-22 11:11 82864] "LXCTCATS"="D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-11-21 14:27 106496] "CloneCDTray"="D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344] "QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696] "NeroFilterCheck"="D:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 09:59 570664] "avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "NvidMediaCenter"="D:\Programme\Gemeinsame Dateien\System\wmsncs.exe" [2008-06-11 00:05 189990] "Spool Driver Service"="D:\WINDOWS\system32\spool\drivers\wmsncs.exe" [2008-06-11 00:05 189990] "Wins Service"="D:\WINDOWS\system32\wins\wmsncs.exe" [2008-06-11 00:05 189990] "Wmsncs Service"="D:\WINDOWS\Fonts\wmsncs.exe" [2008-06-11 00:05 189990] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] "Symantec Network Driver Update Warning"="D:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE" [2004-04-30 18:02 91256] "Wmsncs Service"="D:\WINDOWS\Fonts\wmsncs.exe" [2008-06-11 00:05 189990] "Wins Service"="D:\WINDOWS\system32\wins\wmsncs.exe" [2008-06-11 00:05 189990] "NvidMediaCenter"="D:\Programme\Gemeinsame Dateien\System\wmsncs.exe" [2008-06-11 00:05 189990] "Spool Driver Service"="D:\WINDOWS\system32\spool\drivers\wmsncs.exe" [2008-06-11 00:05 189990] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "HideShutdownScripts"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MaxRecentDocs"= 6 (0x6) [HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au] "NoAutoUpdate"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Shell"="explorer.exe \"D:\\WINDOWS\\Fonts\\wmsncs.exe\"" "UIHost"="" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify] PCANotify.dll 2006-02-24 12:00 8704 D:\WINDOWS\system32\PCANotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= l3codecp.acm "VIDC.HFYU"= huffyuv.dll "VIDC.MJPG"= Pvmjpg30.dll "VIDC.PIM1"= pclepim1.dll "VIDC.I420"= i420vfw.dll "vidc.xvid"= xvid.dll "MSACM.CEGSM"= mobilev.acm "VIDC.MJPX"= PICVideo MJPEG Codec "vidc.yv12"= yv12vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Alarm.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\AntiSpyWare2Guard.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\armor2net.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ASECMON.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avguard.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\AvTask.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdmcon.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\BLINK.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\BULLGUARD.EXE] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caavguiscan.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfp.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\CHTRAY.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\CMain.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DefencePlus.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DefenseWall.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DriveSentry.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drweb32w.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DSA.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\egui.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\EQSpyWatch.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\EQSysSecure.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FilMsg.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FIREWALL.EXE] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FirewallGUI.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\forcefield.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FwGUI.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\GHOSTWALL.EXE] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\gss.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ISWMGR.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\jpf.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\kav.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\kavmm.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KPF4SS.EXE] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\LOOKNSTOP.EXE] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\mks2006.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\MSASCui.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NCDSGUI.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Neoava.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\nortonantibot.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\oaui.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\OnlineNT.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\OSMon.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\outpost.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\pavjobs.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\pgaccount.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\PolicyDeveloper.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\PXCONSOLE.EXE] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\R-Firewall.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Returnil.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RgView.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Rtvscan.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RuleEditor.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Rvsystem.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SANASAFECONNECT.EXE] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SimpMsg.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SnoopFreeUI.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ssystem.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SteelSecurity.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\TavSn.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\wehntrust.exe] Debugger=cmdl32 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\xfilter.exe] Debugger=cmdl32 [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^dboxwinsvr.lnk] path=D:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\dboxwinsvr.lnk backup=D:\WINDOWS\pss\dboxwinsvr.lnkStartup [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Y'z Toolbar.lnk] path=D:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\Y'z Toolbar.lnk backup=D:\WINDOWS\pss\Y'z Toolbar.lnkStartup |
15.06.2008, 12:18 | #5 |
| wmsncs.exe 2x auf dem PC teil2 combolog [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=D:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^EPSON Status Monitor 3 Environment Check 2.lnk] path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EPSON Status Monitor 3 Environment Check 2.lnk backup=D:\WINDOWS\pss\EPSON Status Monitor 3 Environment Check 2.lnkCommon Startup [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Exif Launcher 2.lnk] path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Exif Launcher 2.lnk backup=D:\WINDOWS\pss\Exif Launcher 2.lnkCommon Startup [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RAMASST.lnk] path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\RAMASST.lnk backup=D:\WINDOWS\pss\RAMASST.lnkCommon Startup [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Telefonverbindungsmonitor.lnk] path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Telefonverbindungsmonitor.lnk backup=D:\WINDOWS\pss\Telefonverbindungsmonitor.lnkCommon Startup [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^wmsncs.exe] path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wmsncs.exe backup=D:\WINDOWS\pss\wmsncs.exeCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Admanager Controller] D:\Program Files\Admanager Controller\AdManCtl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Hotkey] D:\Programme\ASUS\ASUS Hotkey V1.0.1\AHOTKEY.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Probe] --a------ 2001-12-17 21:22 617984 C:\Program Files\ASUS\Probe\AsusProb.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BeFaster] D:\Programme\BeFaster\befaster3.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] D:\Programme\BitTorrent\bittorrent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BTUSRBDG] --a------ 2002-02-20 18:14 53248 D:\WINDOWS\system32\BtUsrBdg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-04 00:57 15360 D:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ElbyCheckElbyCDFL] D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager] --a------ 2006-08-21 00:24 2068527 D:\Programme\Free Download Manager\fdm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\freenetiPhone] d:\programme\freenetiphone\iPhoneStarter.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gcasServ] --a--c--- 2004-12-31 17:14 469824 D:\Programme\Microsoft AntiSpyware\gcasServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2007-08-24 08:00 33648 D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] --a------ 2006-11-13 13:50 1289000 D:\Programme\Microsoft ActiveSync\wcescomm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] --a------ 2006-07-11 12:15 3144800 D:\Programme\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan] D:\Programme\Internet Download Manager\IDMan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] D:\Programme\Ahead\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-03-30 10:36 267048 D:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAVPersonal50] D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA] D:\Programme\Kazaa\Kazaa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] D:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 18:24 1694208 D:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] D:\Programme\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\muBlinder] D:\Dokumente und Einstellungen\Admin\Desktop\muBlinder\muBlinder.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] --a------ 2008-02-18 16:29 2221352 D:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] D:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2005-12-10 04:06 7311360 D:\WINDOWS\System32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvidMediaCenter] -r-hs---- 2008-06-11 00:05 189990 D:\Programme\Gemeinsame Dateien\System\wmsncs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2005-12-10 04:06 1519616 D:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PAS] D:\Programme\PAS\pas.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pdfFactory Pro Dispatcher v2] --a--c--- 2004-03-06 10:37 393216 D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck] --a------ 2004-03-11 00:26 406016 D:\WINDOWS\System32\PSDrvCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-03-28 23:37 413696 D:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RAM_DEFRAG] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Realtime Audio Engine] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE] --------- 2002-02-04 23:32 53248 D:\Programme\REGSHAVE\REGSHAVE.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a--c--- 2003-12-08 18:35 32768 D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SIDEBAR] --a------ 2004-09-04 14:57 1126400 D:\Programme\Desktop Sidebar\dsidebar.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] D:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spool Driver Service] -r-hs---- 2008-06-11 00:05 189990 D:\WINDOWS\system32\spool\drivers\wmsncs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP] --a------ 2005-07-07 01:52 1359872 D:\Programme\TGTSoft\StyleXP\StyleXP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-07-12 04:00 132496 D:\Programme\Java\jre1.6.0_02\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM] D:\Programme\Macrogaming\SweetIM\SweetIM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2007-01-29 21:04 185896 D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra------ 2006-03-30 16:45 313472 D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebcastTuner] D:\Programme\SES\CB\webcasttuner.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] D:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFast Schedule] D:\Programme\WinFast\WFTVFM\WFWIZ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wins Service] -r-hs---- 2008-06-11 00:05 189990 D:\WINDOWS\system32\wins\wmsncs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wmsncs Service] -r-hs---- 2008-06-11 00:05 189990 D:\WINDOWS\Fonts\wmsncs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "awhost32"=2 (0x2) "Adobe LM Service"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableNotifications"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Programme\\Messenger\\msmsgs.exe"= "D:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"= "D:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "D:\Programme\Microsoft ActiveSync\rapimgr.exe"= D:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "D:\Programme\Microsoft ActiveSync\wcescomm.exe"= D:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "D:\Programme\Microsoft ActiveSync\WCESMgr.exe"= D:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "wmsncs.exe"= wmsncs.exe:SYSTEM [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 Achernar;Achernar - SCSI Command Filter Drivers;D:\WINDOWS\system32\Drivers\Achernar.sys [2006-02-06 12:44] R0 pxark;pxark;D:\WINDOWS\system32\drivers\pxark.sys [2008-06-15 11:47] R1 cpuidlep;CpuIdle Pro System Driver;D:\WINDOWS\system32\drivers\cpuidlep.sys [2007-05-19 12:12] R1 sdpiosys;sdpiosys;D:\WINDOWS\system32\drivers\sdpiosys.sys [2004-11-30 12:10] R2 CSIScanner;CSIScanner;"D:\Programme\PrevxCSI\prevxcsi.exe" /service [] R2 MarxDev1;MarxDev1;D:\WINDOWS\system32\drivers\MarxDev1.sys [2001-05-28 16:30] R2 MarxDev2;MarxDev2;D:\WINDOWS\system32\drivers\MarxDev2.sys [2001-05-28 16:30] R2 MarxDev3;MarxDev3;D:\WINDOWS\system32\drivers\MarxDev3.sys [2001-05-28 16:30] R2 NET Runtime Optimization Service v2.1.41329_X86;NET Runtime Optimization Service v2.1.41329_X86;"D:\WINDOWS\Fonts\wmsncs.exe" [2008-06-11 00:05] R2 SVKP;SVKP;D:\WINDOWS\System32\SVKP.sys [2003-12-07 04:55] R2 Tdlpt;Tdlpt;D:\WINDOWS\System32\drivers\Tdlpt.sys [2001-10-16 12:58] R2 UMediaServer;UMediaServer;D:\Programme\UnrealStreaming\UMediaServer\UMediaServer.exe [2007-11-27 11:30] R2 vnccom;vnccom;D:\WINDOWS\system32\Drivers\vnccom.SYS [2005-06-13 12:42] R3 Aldebaran;Aldebaran - SCSI Command Filter Drivers;D:\WINDOWS\system32\Drivers\Aldebaran.sys [2006-02-06 12:44] R3 BTCOMM;BTCOMM;D:\WINDOWS\system32\drivers\Btcomm.sys [2002-02-20 18:14] R3 BTKRNBDG;Bluetooth COM Bridge;D:\WINDOWS\system32\DRIVERS\btkrnbdg.sys [2002-02-20 18:14] R3 SKYNET;TechniSat DVB-PC TV Star PCI;D:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2006-03-14 03:22] S2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;D:\WINDOWS\system32\drivers\wf88vcap.sys [2004-08-02 06:34] S2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;D:\WINDOWS\system32\drivers\WF88XBAR.sys [2004-10-18 12:25] S2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;D:\WINDOWS\system32\drivers\WF88TUNE.sys [2004-10-18 12:25] S3 ASUSHWIO;ASUSHWIO;D:\WINDOWS\system32\drivers\ASUSHWIO.sys [] S3 AVerA700;A700 service;D:\WINDOWS\system32\DRIVERS\AVerBDA3x.sys [2006-09-12 09:25] S3 AVerBDA;AVerBDA service;D:\WINDOWS\system32\DRIVERS\AVerBDA3x.sys [2006-09-12 09:25] S3 AVerEth;AVerMedia Ethernet Adapter for MPE Service;D:\WINDOWS\system32\DRIVERS\AVerEth.sys [2006-09-08 10:01] S3 CIADRVNT;CIADRVNT;D:\WINDOWS\system32\drivers\CIADRVNT.SYS [] S3 FTLUND;Lundinova Filter Driver;D:\WINDOWS\system32\drivers\ftlund.sys [2004-01-19 17:27] S3 ids0004C;ids0004C;D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys [] S3 mirrorv3;mirrorv3;D:\WINDOWS\system32\DRIVERS\rminiv3.sys [2006-11-01 06:01] S3 NETFWDSL;AVM FRITZ!web DSL PPP;D:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [] S3 SPOTIGOSp50;SPOTIGOSp50 NDIS Protocol Driver;D:\WINDOWS\system32\Drivers\SPOTIGOSp50.sys [] S3 VLC media player;VLC media player;"D:\Programme\VideoLAN\VLC\vlc.exe" -I ntservice --ntservice-extraintf http [] S3 WFIOCTL;WFIOCTL;e:\Programme\WinFast\WFTVFM\WFIOCTL.SYS [] S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);D:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-08-03 16:55] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{103L3C30-C3B3-4130-9363-E59E1375PERM}] D:\WINDOWS\Fonts\wmsncs.exe . Inhalt des "geplante Tasks" Ordners "2008-06-13 16:16:01 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - D:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-15 12:53:20 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... D:\WINDOWS\Fonts\wmsncs.exe [1552] 0x88DB2A20 Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: D:\WINDOWS\explorer.exe -> L:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\DockShellHook.dll . ------------------------ Other Running Processes ------------------------ . D:\Programme\TGTSoft\StyleXP\StyleXPService.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\system32\bgsvcgen.exe D:\Programme\Bonjour\mDNSResponder.exe D:\WINDOWS\system32\lxctcoms.exe D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe D:\Programme\Orb Networks\Orb\bin\OrbMediaService.exe D:\WINDOWS\system32\IoctlSvc.exe D:\Programme\Orb Networks\Orb\bin\OrbTray.exe D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe D:\Programme\Orb Networks\Orb\bin\Orb.exe D:\Programme\VMware\VMware Workstation\vmware-authd.exe D:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe D:\WINDOWS\system32\vmnat.exe D:\WINDOWS\system32\vmnetdhcp.exe L:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-15 13:09:21 - machine was rebooted [Admin] ComboFix-quarantined-files.txt 2008-06-15 11:09:10 15 Verzeichnis(se), 43,178,094,592 Bytes frei 19 Verzeichnis(se), 47,228,985,344 Bytes frei 508 |
15.06.2008, 12:20 | #6 |
| wmsncs.exe 2x auf dem PC Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:11:26, on 15.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programme\TGTSoft\StyleXP\StyleXPService.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\WINDOWS\system32\bgsvcgen.exe D:\Programme\Bonjour\mDNSResponder.exe D:\Programme\PrevxCSI\prevxcsi.exe D:\Programme\PrevxCSI\prevxcsi.exe D:\WINDOWS\system32\lxctcoms.exe D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe D:\Programme\Orb Networks\Orb\bin\OrbMediaService.exe D:\WINDOWS\system32\IoctlSvc.exe D:\Programme\Orb Networks\Orb\bin\OrbTray.exe D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Orb Networks\Orb\bin\Orb.exe D:\Programme\UnrealStreaming\UMediaServer\UMediaServer.exe D:\Programme\VMware\VMware Workstation\vmware-authd.exe D:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe D:\WINDOWS\system32\vmnat.exe D:\WINDOWS\system32\vmnetdhcp.exe D:\Programme\Lexmark 5400 Series\lxctmon.exe D:\Programme\Lexmark 5400 Series\ezprint.exe D:\Programme\QuickTime\qttask.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Windows Live\Messenger\MsnMsgr.Exe D:\WINDOWS\system32\ctfmon.exe D:\WINDOWS\System32\svchost.exe L:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe D:\WINDOWS\explorer.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.werder-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h++p=localhost:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: Shell=explorer.exe "D:\WINDOWS\Fonts\wmsncs.exe" O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [lxctmon.exe] "D:\Programme\Lexmark 5400 Series\lxctmon.exe" O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "D:\Programme\Lexmark 5400 Series\fm3032.exe" /s O4 - HKLM\..\Run: [EzPrint] "D:\Programme\Lexmark 5400 Series\ezprint.exe" O4 - HKLM\..\Run: [LXCTCATS] rundll32 D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] D:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvidMediaCenter] D:\Programme\Gemeinsame Dateien\System\wmsncs.exe O4 - HKLM\..\Run: [Spool Driver Service] D:\WINDOWS\system32\spool\drivers\wmsncs.exe O4 - HKLM\..\Run: [Wins Service] D:\WINDOWS\system32\wins\wmsncs.exe O4 - HKLM\..\Run: [Wmsncs Service] D:\WINDOWS\Fonts\wmsncs.exe O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Wins Service] D:\WINDOWS\system32\wins\wmsncs.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [NvidMediaCenter] D:\Programme\Gemeinsame Dateien\System\wmsncs.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] D:\WINDOWS\system32\spool\drivers\wmsncs.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Stardock ObjectDock.lnk = L:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: wmsncs.exe O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://D:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Send To &Bluetooth - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h++p://service.maxdome.de/de/systemcheck/HWTest.CAB[/url] O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h++p://go.microsoft.com/fwlink/?linkid=39204[/url] O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab[/url] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199888575062 O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h++p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199888555156 O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h++p://support.f-secure.com/ols/fscax.cab O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - h++p://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - h++p://driveragent.com/files/driveragent.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{49708F59-DEFB-4DC9-9E3A-1EEF58E0491C}: NameServer = 192.168.1.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - D:\WINDOWS\system32\bgsvcgen.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Unknown owner - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe (file missing) O23 - Service: CSIScanner - Prevx - D:\Programme\PrevxCSI\prevxcsi.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - D:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - D:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: lxct_device - - D:\WINDOWS\system32\lxctcoms.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: OrbMediaService - Orb Networks - D:\Programme\Orb Networks\Orb\bin\OrbMediaService.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - D:\WINDOWS\system32\IoctlSvc.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - D:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing) O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: StyleXPService - Unknown owner - D:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TVersityMediaServer - Unknown owner - D:\Programme\TVersity\Media Server\MediaServer.exe O23 - Service: UMediaServer - Unreal Streaming Technologies. - D:\Programme\UnrealStreaming\UMediaServer\UMediaServer.exe O23 - Service: VLC media player - Unknown owner - D:\Programme\VideoLAN\VLC\vlc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - D:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - D:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - D:\WINDOWS\system32\vmnat.exe -- End of file - 12421 bytes Geändert von Zibbo (15.06.2008 um 12:46 Uhr) |
15.06.2008, 13:25 | #7 |
wmsncs.exe 2x auf dem PC Hallo Zibbo, benutzt du Filesharing-programme? Wenn ja, brauchst du dich nicht wundern, das du sowas wie wmsncs.exe auf'm Rechner hast Unbedingt die Finger von den Dingern lassen! |
15.06.2008, 14:44 | #8 |
| wmsncs.exe 2x auf dem PC nein, nutzen tue ich das nicht was installiert ist. wenn ich sowas nutze dann über vmware |
15.06.2008, 15:13 | #9 |
wmsncs.exe 2x auf dem PC Dann installier doch sowas erst garnicht |
15.06.2008, 16:33 | #10 |
| wmsncs.exe 2x auf dem PC vielen dank für deinen elterlichen rat. aber der war im moment nicht gefragt und weicht etwas vom hier beschriebenen problem ab. trotzdem danke |
15.06.2008, 19:05 | #11 |
/// Helfer-Team | wmsncs.exe 2x auf dem PC Hi, das Problem ist, dass dein System von dieser Datei geflutet ist. Im Titel schreibst du "2x auf dem PC", sie ist aber viel öfter da, sieh einfach mal die Logs selber durch. Du wurdest oben schon gebeten, diese Dateien mal bei VirusTotal scannen zu lassen. Das ist deine einzige Chance herauszubekommen, ob sie vielleicht was (relativ) harmloses sind. Ohne einen entsprechenden Befund von dort muss man davon ausgehen, dass dein Rechner von einem Backdoorserver kontrolliert wird und einfach nicht mehr dein Rechner ist, da hilft dann nur neu installieren. Die vorhandenen Fakten aus den Logs sagen aber, dass Du kaum Grund zur Hoffnung hast: Diese wmsncs.exe läuft als versteckter Prozess und hat sich in der Firewall eine Freigabe gegeben. Sie hat sich extrem tief in dein System eingebaut, so ziemlich jede versteckte Startmöglichkeit nutzt sie auch. außerdem musst du dich mal auf die Suche machen nach etwas was cmdl32* heißt. Dass die als Debugger eingetrsagen ist, dürfte die nächste Katastrophe sein. Es gibt zwar eine Microsoftdatei cmdl32.exe, aber dies wird was anderes sein. Gruß, Karl |
16.06.2008, 00:03 | #12 |
| wmsncs.exe 2x auf dem PC ja dashört sich ja sch**e an. konnte bei virustotal nicht scannen da meine verbindungen immer abrissen. hab jetzt mein jüngeres image wieder drauf gespielt. wie kann man da vorsorgen? kam eigentlich sehr plötzlich. in den letzten tagen hab ich auch nichts schlimmes gemacht, denk ich mal. auf dem rechner hab ich nur antivir drauf. hatte mal mit aktiveX rumgemacht im browser, wegen irgendeiner website die das wollte. sollte ich noch eine extra firewall installieren? wenn ja welche kostenlose möglichkeit habe ich. habe im router eine aktive. Geändert von Zibbo (16.06.2008 um 00:14 Uhr) |
16.06.2008, 03:52 | #13 |
/// Helfer-Team | wmsncs.exe 2x auf dem PC Den Onlinescan hätte ich ja gerne gesehen. In den Filesharingnetzen werden viele üble Seuchen verbreitet. Gerade auch welche, die neu entwickelt wurden und die erste Zeit von den üblichen Virenscannern nicht erkannt werden. auch wenn du die P2P-Software in einer VM laufen lässt könnte es schließlich sein, dass Du die eine oder andere runtergeladene Datei außerhalb von ihr startet. Genau wissen kann ich es nicht, aber ich vermute schon was in der Richtung als den Hauptgrund. Mit Antivir hast Du einen der besten Virenscanner, die es gibt. aber der und der router können gegen leichtsinniges Benutzerverhalten nun mal nicht schützen, das wäre zuviel von ihnen erwartet. Geändert von KarlKarl (16.06.2008 um 04:01 Uhr) |
Themen zu wmsncs.exe 2x auf dem PC |
antivir, dateien, dickes, drucker, entfernt, explorer.exe, fonts, gemeinsame, helfen, hijack, hijackthis, interne, internet, neustart, programme, sache, sachen, scan, shell, system, tool, usb, verbindung, wahrscheinlich, windows, wmsncs.exe |