| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: pdsched.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
18.09.2008, 10:48
| #1 |
| |  pdsched.exe Hallo, Spybot findet unter /Werkzeuge/Systemstart bei mir immer den roten (schädlichen) Eintrag pdsched.exe. Löschen bringt nichts, da der Eintrag nach Neustart wieder auftaucht. Googlen erbrachte den Verdacht, daß es sich dabei um den Trojaner SDBOT.CN handeln könnte. Allerdings taucht pdsched.exe weder im Taskmanager noch im Hijackthis-Log auf. Ich habe immer Spybot und AntiVir laufen und beide finden beim Systemcheck keine Viren. Nachfolgend noch das Hijackthis-Log. Die Online-Überprüfung des Logs erbrachte aber keine Hinweise auf bösartige Einträge. Eine Datei dieses Namens ist auch auf keiner meiner Festplatten zu finden. --------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:34:40, on 18.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe E:\CD & Brennen\Nero\InCD\InCDsrv.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\nvraidservice.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe E:\Internet\Spybot S&D\TeaTimer.exe E:\Internet\Fritz!DSL\FwebProt.exe e:\internet\Fritz!DSL\StCenter.EXE E:\Internet\Spybot S&D\SpybotSD.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe e:\internet\Fritz!DSL\IGDCTRL.EXE E:\System\NORTON~1\NORTON~1\NPROTECT.EXE D:\WINDOWS\system32\nvsvc32.exe E:\System\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE E:\CD & Brennen\Alcohol 120\StarWind\StarWindService.exe D:\Programme\UPHClean\uphclean.exe D:\WINDOWS\System32\wbem\unsecapp.exe D:\WINDOWS\System32\svchost.exe E:\Internet\Mozilla Firefox\firefox.exe D:\WINDOWS\system32\wuauclt.exe E:\System\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.my.yahoo.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Internet\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Alcohol Toolbar Helper - {52D06F97-5511-43FA-8FDA-C481864FD26E} - D:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Internet\SPYBOT~1\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Internet\ICQToolbar\toolbaru.dll O3 - Toolbar: Alcohol Toolbar - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - D:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NVRaidService] D:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [CloneCDTray] "E:\CD & Brennen\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "E:\grafik & video\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Internet\Spybot S&D\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = E:\Internet\Fritz!DSL\FwebProt.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Internet\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\OFFICE~1\MSOFFI~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Internet\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Internet\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197741275419 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F33DAB50-01D8-43FA-8DDE-DFD521308087}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - e:\internet\Fritz!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - E:\CD & Brennen\Nero\InCD\InCDsrv.exe O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - E:\System\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: RA Server (Slave) - Unknown owner - D:\WINDOWS\Slave.exe (file missing) O23 - Service: Speed Disk service - Symantec Corporation - E:\System\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\CD & Brennen\Alcohol 120\StarWind\StarWindService.exe O23 - Service: T-Online DSL-Manager (TODslService) - Unknown owner - D:\Programme\T-Online\DSL-Manager\TODslSvc.exe (file missing) -- End of file - 7468 bytes |
|
18.09.2008, 11:05
| #2 |
| |  pdsched.exe Nachtrag: Ich habe in der registry noch zwei Einträge gefunden, die auf pdsched.exe und argh.exe (hängt auch mit dem gleichen Virus zusammen) verwiesen haben. Diese beiden Werte habe ich manuell gelöscht. Auch argh.exe taucht übrigens als Datei nirgends auf den Festplatten auf und wird auch von keinem Scanner angezeigt.
__________________ |
|
| Themen zu pdsched.exe |
| adobe, antivir, antivirus, avg, avira, bho, ctfmon.exe, dsl, excel, explorer, festplatte, firefox, google, handel, hijack, hkus\s-1-5-18, internet, internet explorer, mozilla, neustart, nvidia, rundll, software, symantec, systemcheck, t-online, taskmanager, trojaner, urlsearchhook, windows, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
