|
Plagegeister aller Art und deren Bekämpfung: Mysteriöse Vorgänge am PC - Virus?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.10.2010, 16:49 | #1 |
| Mysteriöse Vorgänge am PC - Virus? Hallo, seit Montag habe ich ein Problem mit meinem PC auf der Arbeit: 1) Es öffnet sich der Microsoft Script Editor (Just-In-Time-Debugging), -> svchost.exe: Script scheint befallen zu sein. Wenn ich das Debugging beende kommt es immer wieder von neuem, ich lasse deshalb schon immer das Programm an, dann ist ruhe 2) Hin und wieder öffnet sich bei Firefox folgende Seite: hxxp://***.com/?xurl=hxxp://a0g7ya1i0.com/KzM1dEnD8L5XRqo7847f8dba9e9b1911016b8fc047d2bc3406h&xref=hxxp://cape-canaveral.com/key/?qs=5f694293f65c2343546318980a3cee50a16f3bfcc8cbfb1dc13e2427c3c8ebc418eca1561329502e5966dd2f5fa6a4ad&t= die vorangegangene Seite ist immer eine andere, die xurl= scheint aber auf dem ersten Blick immer relativ gleich auszusehen... 3) Ad-Aware meldet ab und zu eine Blockung von Netzwerkzugriffen. Ein kompletter Scan ergibt aber keine befallenen Dateien. 4) Der PC scheint mir allgemein langsamer zu sein. 5) Ich kann in keinem Forum von dem PC aus posten, es kommt immer eine Fehlermeldung, deshalb schreibe ich jetzt vom heimischen Laptop Hijack Log: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 10:18:23, on 21.10.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\AMT\atchksrv.exe c:\Programme\CA\SharedComponents\iTechnology\igateway.exe c:\Programme\CA\eTrustITM\InoRpc.exe c:\Programme\CA\eTrustITM\InoRT.exe c:\Programme\CA\eTrustITM\InoTask.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Intel\AMT\LMS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\HPQ\IAM\bin\asghost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE C:\Programme\Intel\AMT\atchk.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\SMINST\Scheduler.exe C:\Programme\CA\eTrustITM\realmon.exe C:\WINDOWS\system32\eclientn.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\Programme\ESTOS\ProCall\etapimon.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Microsoft Dynamics NAV\Client51\finsql.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre6\bin\java.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Firefox\plugin-container.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE C:\Programme\Microsoft Office\OFFICE11\MSE7.EXE C:\WINDOWS\system32\calc.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Microsoft Office\OFFICE11\MSE7.EXE C:\Kram\HiJackThis204.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start O4 - HKLM\..\Run: [atchk] "C:\Programme\Intel\AMT\atchk.exe" O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash" O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe O4 - HKLM\..\Run: [Realtime Monitor] "c:\Programme\CA\eTrustITM\realmon.exe" -s O4 - HKLM\..\Run: [ETapiNotify] eclientn.exe O4 - HKLM\..\Run: [ETapiSt] "C:\Programme\ESTOS\ProCall\etapist.exe" -autostart O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175206559015 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175245609640 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = brieftaube.local O17 - HKLM\Software\..\Telephony: DomainName = brieftaube.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.local O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Intel(R) AMT System Status Service (atchksrv) - Intel Corporation - C:\Programme\Intel\AMT\atchksrv.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iTechnology iGateway 4.0 (iGateway) - Computer Associates International, Inc. - c:\Programme\CA\SharedComponents\iTechnology\igateway.exe O23 - Service: eTrust ITM-RPC-Dienst (InoRPC) - Computer Associates International, Inc. - c:\Programme\CA\eTrustITM\InoRpc.exe O23 - Service: eTrust ITM-Echtzeitdienst (InoRT) - Computer Associates International, Inc. - c:\Programme\CA\eTrustITM\InoRT.exe O23 - Service: eTrust ITM-Jobdienst (InoTask) - Computer Associates International, Inc. - c:\Programme\CA\eTrustITM\InoTask.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Intel(R) Active Management Technology LMS Service (LMS) - Intel - C:\Programme\Intel\AMT\LMS.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe -- End of file - 8550 bytes Würde mich riesig freuen wenn jemand weiss um was für einen Schädling es sich hier handelt! |
21.10.2010, 18:39 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mysteriöse Vorgänge am PC - Virus?Zitat:
Sollte Dein PC verseucht sein: Fast alle Tools, die wir zur Bereinigung einsetzen, darfst Du auf dem Büro-PC nicht nutzen, da diese nur für den Privatgebrauch erlaubt sind.
__________________ |
Themen zu Mysteriöse Vorgänge am PC - Virus? |
0 bytes, ad-aware, adobe, bho, brief, computer, desktop, fehlermeldung, firefox, google, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, monitor, mozilla, plug-in, problem, programm, refresh, rundll, scan, schädling, security, software, svchost.exe, system, virus, windows, windows xp |