Hwclock.exe / Msnmsgrs.exe
 

Hallo
sorry, vielleicht ein alter Hut, aber ich bin neu hier.
Meine Firewall läuft amok (Agnitum/Outpost) und ich vermute, das ich dadurch mit meinem Analog-Modem div. Zeitprobleme erhalte.
Ich habe XP-Proff. installiert und vor kurzem die Hardware geändert (neuer DVD-Brenner), dachte aber das ich mit XPANTISPY diese Vorgänge verhindern könnte. SP2 hab ich bisher nicht gebraucht, les darüber auch zuviel Müll im Moment, und warum ein -winning-team- ändern ??
Ein Suchlauf nach den EXEn brachte nichts, vermute deshalb , das ein Reg.-Eintrag stört, aber wo ? Jemand ´ne Idee ?
Gruss D_D

Poste zunächst ein Hijackthis-Logfile .

ok
hier das hjt-logfile
hab zwar schon einige vermutungen, will aber sicher gehen

Logfile of HijackThis v1.99.1
Scan saved at 22:37:44, on 01.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme-activ\Nero6\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme-activ\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\gearsec.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\SCARDS32.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\Programme-activ\i-tunes\iTunesHelper.exe
E:\PC-Tools\daemon\daemon.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Logitech\iTouch\iTouch.exe
E:\Programme-activ\Nero6\InCD\InCD.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\MSNMSGRS.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
E:\SX1\progies\siemens data suite sx1\SDS\SDSScheduler.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
E:\SX1\progies\siemens data suite sx1\SDS\SPhoneObserver.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\WINDOWS\slrundll.exe
C:\Dokumente und Einstellungen\xxxxxx xxxxx\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [iTunesHelper] E:\Programme-activ\i-tunes\iTunesHelper.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\PC-Tools\daemon\daemon.exe" -lang 1031
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] E:\Programme-activ\Nero6\InCD\InCD.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [runs] run.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sygate Personal Firewall] MSNMSGRS.exe
O4 - HKLM\..\RunServices: [runs] run.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNMSGRS.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] MSNMSGRS.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: SDSScheduler.lnk = E:\SX1\progies\siemens data suite sx1\SDS\SDSScheduler.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://www.seb.de
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1B9F937-A87B-4E30-A8D8-9A5205DDD846}: NameServer = 213.20.124.36 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\Programme-activ\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme-activ\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - E:\Programme-activ\Nero6\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE


vielen dank im vorraus, gruss D_D

ups, sorry
tauchen doch 2 links auf, aber nicht von bewand

ciao D_D

Da du mindestens 2 Backdoors auf dem Rechner hast, nämlich diese:

http://www.trendmicro.com/vinfo/viru...T%2EXN&VSect=T
http://www.sophos.de/virusinfo/analyses/w32rbotbwf.html

ist dein System als kompromittiert zu betrachten.
Grund dafür ist u.a. ein ungenügendes Patchverhalten.Service Pack 2 ist mittlerweile aktuell.
Aus o.g. Gründen kann dir hier nur geraten werden, dein System Neu aufzusetzen und zwar nach dieser Anleitung um ähnliches in Zukunft zu vermeiden.

Hallo
Danke für die Hilfe, werd das die nächsten Tage mal durchführen und dann berichten.
Gruss D_D