Trojaner-Board - Log files nicht zu löschen / registry spinnt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Log files nicht zu löschen / registry spinnt (https://www.trojaner-board.de/18437-log-files-loeschen-registry-spinnt.html)

Log files nicht zu löschen / registry spinnt

Hallo habe folgende Log-file :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Anti Vir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Real Player\RealPlay.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
C:\Programme\TELEDAT\WCOM\SYSTEM\ccsrv.exe
E:\Daniel\Guitartabs\Guitar Pro 4\GP4.0.7.exe
D:\smart surfer\SmartSurfer.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\spy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RealTray] D:\Real Player\RealPlay.exe SYSTEMBOOTHIDEPLAYER
[B]O4 - HKLM\..\Run: [ocw] C:\WINDOWS\System32\ocw.exe
[B]O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: http://www.neededware.com
O16 - DPF: NDWCab - http://www.neededware.com/ndw2.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{13D82EF0-1481-408E-BE18-38B904A5A79C}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{13D82EF0-1481-408E-BE18-38B904A5A79C}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Anti Vir\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Der Prozess ocw.exe kann nicht zerstört werden, zudem meldet windows xp das der autostart geändert wurde und benennt den prozess mit ocw.exe wahlweise auch mal srikcl.exe. hab alles was ich kenn drüberlaufen lassen und auch registry einträge gelöscht, doch das problem taucht wieder auf. was nun???

@dan1983
poste bitte die systeminfos mit
z.B.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

chaosman

ERGÄNZUNG

Logfile of HijackThis v1.99.0
Scan saved at 12:00:03, on 31.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Anti Vir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Real Player\RealPlay.exe
C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
C:\Programme\TELEDAT\WCOM\SYSTEM\ccsrv.exe
D:\smart surfer\SmartSurfer.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
D:\spy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RealTray] D:\Real Player\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ocw] C:\WINDOWS\System32\ocw.exe
O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: http://www.neededware.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{13D82EF0-1481-408E-BE18-38B904A5A79C}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{13D82EF0-1481-408E-BE18-38B904A5A79C}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Anti Vir\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@dan1983

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

SP2 muss installiert werden.

Überprüfe die Datei bei http://virusscan.jotti.org/.

Zitat:

C:\WINDOWS\System32\ocw.exe

und poste Ergebnis.

Fixe das im abgesicherten Modus

Zitat:

O4 - HKLM\..\Run: [ocw] C:\WINDOWS\System32\ocw.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: h**p://www.neededware.com

Hier die Antwort vom Viencheck:

Jotti's malware scan 2.99-TRANSITION_TO_3.00

File to upload & scan:
File: ocw.exe

Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
MD5 bc6e9fb694c51177a22071705c1a9b43
Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT
Scanner results
AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found nothing

Na toll, und jetzt? Dat ding will den autostart verändern und ich hab keine lust ständig regisrty einträge etc. zu löschen damit das zwei min. später wieder da ist.