Trojaner-Board - Kann jemand mein logfile anschauen?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Kann jemand mein logfile anschauen? (https://www.trojaner-board.de/45116-jemand-logfile-anschauen.html)

Zitat:

Zitat von Sabine01 (Beitrag 301890)

habe erst vorhin einen gemacht, Ergebnis sah harmlos aus

Nach dem Löschen der Datei aus der Systemwiederherstellung? Im abgesicherten Modus? Wenn ja, zeig bitte den Report. Wenn nein, bitte ich dich um einen weiteren Komplett-Scan, und zwar im abgesicherten Modus.

edit: shmgrate.exe ist ok.

Proxy verwende ich derzeit nicht. Hatte ihn beim IE mal eingerichtet, vor langer Zeit, als ich mal über JAP (Anonymizer) ins Netz ging. In meinem IE ist er aber gerade nicht angeklickt. "Ausgegraut" sieht man die Nummer des Proxys, entspricht derjenigen, die Du hier zitierst.

Ansonsten verwende ich ohnehin fast nur firefox.

Sabine

Hallo Frank,

AntiVir hatte ich heute morgen mal laufen, war auch nicht im abgesicherten Modus. Ich mache das also jetzt, so wie Du es empfohlen hast, und melde mich dann mit dem Report.

Grüße, Sabine

OK, habe nun ein AniVir-Update gemacht, abgesicherter Modus, da habe ich mich dann aber nicht als "Administrator" angemeldet, sondern unter meinem üblichen Benutzernamen (ist mit Admin-Rechten ausgestattet, ist also okay so, oder?).

Hoffentlich habe ich mein AntiVir auch ordentlich konfiguriert!?

Ergebnis: kein Virenfund, 2 (wohl harmlose?) Warnungen (siehe unten).

Derzeit läuft mein Rechner wieder schön schnell. Kann es sein, daß nichts schädliches (mehr) drauf ist?!?:party:

Viele Grüße, Sabine

Zitat:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 27. Oktober

2007 19:46

Es wird nach 904194 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: xxxxxx
Computername: XXXXXX

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007

13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 07.09.2007

08:00:56
AVSCAN.DLL : 7.0.6.0 57384 Bytes 07.09.2007

08:00:56
LUKE.DLL : 7.0.5.3 147496 Bytes 07.09.2007

08:00:57
LUKERES.DLL : 7.0.6.0 10792 Bytes 07.09.2007

08:00:57
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007

07:58:28
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007

09:12:34
ANTIVIR2.VDF : 7.0.0.140 940544 Bytes 26.10.2007

20:09:46
ANTIVIR3.VDF : 7.0.0.142 3072 Bytes 26.10.2007

20:09:46
AVEWIN32.DLL : 7.6.0.30 3056128 Bytes 26.10.2007

20:09:46
AVWINLL.DLL : 1.0.0.7 14376 Bytes 01.05.2007

07:37:01
AVPREF.DLL : 7.0.2.2 25640 Bytes 07.09.2007

08:00:56
AVREP.DLL : 7.0.0.1 155688 Bytes 01.05.2007

07:37:03
AVPACK32.DLL : 7.3.0.15 360488 Bytes 05.08.2007

20:23:59
AVREG.DLL : 7.0.1.6 30760 Bytes 07.09.2007

08:00:56
AVARKT.DLL : 1.0.0.20 278568 Bytes 07.09.2007

08:00:52
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 07.09.2007

08:00:53
NETNT.DLL : 7.0.0.0 7720 Bytes 01.05.2007

07:37:02
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.09.2007

08:00:43
RCTEXT.DLL : 7.0.62.0 90152 Bytes 07.09.2007

08:00:43
SQLITE3.DLL : 3.3.17.1 339968 Bytes 07.09.2007

08:00:57

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige

Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir

personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Samstag, 27. Oktober 2007 19:46

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden

durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden

durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden

durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden

durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden

durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden

durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden

durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden

durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden

durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden

durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden

durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien

(Registry) wird begonnen.
Die Registry wurde durchsucht ( '21' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird

begonnen:

Beginne mit der Suche in 'C:\' <Volume>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet

werden!
Beginne mit der Suche in 'E:\' <Volume>
E:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet

werden!

Ende des Suchlaufs: Samstag, 27. Oktober 2007 21:02
Benötigte Zeit: 1:16:43 min

Der Suchlauf wurde vollständig durchgeführt.

3154 Verzeichnisse wurden überprüft
139523 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden

gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden

repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
139523 Dateien ohne Befall
6401 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Hallo, ist bei mir jetzt alles okay?

Nochmal vielen Dank + Grüße, Sabine

Ich fürchte nein. Aber wirklich viel fällt mir nicht mehr ein. Mach bitte Folgendes:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop, öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Hallo Frank!

Deinen folgenden Satz habe ich nicht verstanden:

Zitat:

Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage

Bitte erkläre kurz, was Du damit meinst.

Ich kann hier mal den gesamten Inhalt posten, der sich in der editor-Datei befindet:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "hsa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "energyplugin Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
System found infected with abetterinternet Spyware/Adware (alchem.ini)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Default User\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Gast\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{BB2BC3A9-295A-49F5-8425-2AEC7003D525}\RP172\A0038306.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{BB2BC3A9-295A-49F5-8425-2AEC7003D525}\RP188\A0041231.exe:exe.exe infiziert von "Trojan.Win32.Obfuscated.jw" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\config\systemprofile\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\alchem.ini
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\dsb
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\hsa !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sw !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\DSL Connection Manager\Update\update.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 76880
Gefundene Viren: 14
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 371
Dauer des Scans bisher: 01:18:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 15:55:27,98
Batchende: 15:55:34,58

Ich meinte filelist.zip, wie in meinem vorhergehenden Posting verlinkt. Mit der find.bat des eScan (den du noch einmal gemacht hast?) hat das nichts zu tun.

OK, hier die filelist.zip-Daten:

Zitat:

Verzeichnis von C:\

30.10.2007 08:26 132.396 filelist.txt
29.10.2007 11:56 267.440.128 hiberfil.sys
29.10.2007 11:56 805.306.368 pagefile.sys
03.10.2007 18:52 211 boot.ini
20.09.2007 10:08 6 ISACER.ID
(usw.)

Verzeichnis von C:\WINDOWS\system32

29.10.2007 11:58 313.144 perfh009.dat
29.10.2007 11:58 40.862 perfc009.dat
29.10.2007 11:58 49.226 perfc007.dat
29.10.2007 11:58 318.350 perfh007.dat
29.10.2007 11:58 728.266 PerfStringBackup.INI
25.10.2007 21:35 121.336 FNTCACHE.DAT
25.10.2007 10:54 14.336 svchost.exe
13.10.2007 19:56 1.158 wpa.dbl
28.09.2007 06:19 18.089.592 MRT.exe
(usw.)

Verzeichnis von C:\WINDOWS\Prefetch

31.08.2035 17:00 18.728 RUNDLL32.EXE-12E27DD0.pf
19.09.2018 00:38 66.766 WUAUCLT.EXE-399A8E72.pf
30.10.2007 08:27 7.576 MORE.COM-32DCB7E4.pf
30.10.2007 08:26 19.528 NOTEPAD.EXE-336351A9.pf
30.10.2007 08:26 15.668 CMD.EXE-087B4001.pf
30.10.2007 08:26 11.910 REG.EXE-0D2A95F7.pf
30.10.2007 08:26 12.258 FINDSTR.EXE-0CA6274B.pf
30.10.2007 08:26 18.994 WINRAR.EXE-3588DFE8.pf
30.10.2007 08:21 16.052 VERCLSID.EXE-3667BD89.pf
30.10.2007 08:20 111.108 FIREFOX.EXE-1D57670A.pf
30.10.2007 08:20 79.886 IEXPLORE.EXE-2CA9778D.pf
30.10.2007 08:18 52.850 WMIPRVSE.EXE-28F301A9.pf
30.10.2007 08:18 80.732 WINWORD.EXE-0AEA99D4.pf
30.10.2007 08:18 21.704 MSMSGS.EXE-32066BA5.pf
30.10.2007 08:18 84.170 MSIMN.EXE-0B61806C.pf
30.10.2007 08:18 61.454 CLEARPROG.EXE-1934C98F.pf
30.10.2007 08:16 14.102 ORPHOTO.EXE-1E4BC758.pf
30.10.2007 08:12 37.130 LOGONUI.EXE-0AF22957.pf
30.10.2007 01:00 65.660 AVSCAN.EXE-05AECC0E.pf
29.10.2007 23:32 28.310 DIVXSM.EXE-3407AB62.pf
29.10.2007 23:32 46.496 WMPLAYER.EXE-0996933A.pf
29.10.2007 19:45 310.272 Layout.ini
29.10.2007 17:05 93.792 AVNOTIFY.EXE-22AE9451.pf
29.10.2007 17:05 70.350 UPDATE.EXE-13D57D76.pf
29.10.2007 17:05 17.542 PREUPD.EXE-358AA1C1.pf
29.10.2007 16:12 95.134 EMULE.EXE-184A63F1.pf
29.10.2007 13:11 101.922 ACRORD32.EXE-0EC716D9.pf
29.10.2007 13:00 12.812 LUPE.EXE-099FA2AB.pf
29.10.2007 12:30 16.742 ATIPTAXX.EXE-29301952.pf
29.10.2007 12:30 55.458 AVGNT.EXE-36CA4640.pf
29.10.2007 12:30 10.484 APNTEX.EXE-2E1C35C0.pf
29.10.2007 12:30 19.326 IMAPI.EXE-0BF740A4.pf
29.10.2007 12:30 19.084 APOINT.EXE-2260E054.pf
29.10.2007 12:30 84.332 EXPLORER.EXE-082F38A9.pf
29.10.2007 12:30 24.872 USERINIT.EXE-30B18140.pf
29.10.2007 12:30 5.696 ATI2MDXX.EXE-00F23993.pf
29.10.2007 12:22 7.422 LOGON.SCR-151EFAEA.pf
29.10.2007 12:12 50.910 HELPSVC.EXE-2878DDA2.pf
29.10.2007 11:59 22.898 WMIADAP.EXE-2DF425B2.pf
29.10.2007 11:04 92.136 WMPLAYER.EXE-09969332.pf
28.10.2007 16:54 51.906 E_L19382.EXE-3593EDE4.pf
28.10.2007 16:04 28.198 ACRORD32INFO.EXE-30CEC19C.pf
28.10.2007 00:41 63.302 DFRGNTFS.EXE-269967DF.pf
28.10.2007 00:41 18.458 DEFRAG.EXE-273F131E.pf
27.10.2007 23:24 13.514 RUNDLL32.EXE-268BFF96.pf
27.10.2007 21:47 34.804 I_VIEW32.EXE-0B6C3BA4.pf
27.10.2007 11:55 21.834 RASAUTOU.EXE-18B88A68.pf
26.10.2007 15:37 15.214 RUNDLL32.EXE-451FC2C0.pf
05.05.2005 20:27 700.472 NTOSBOOT-B00DFAAD.pf
49 Datei(en) 2.929.968 Bytes
0 Verzeichnis(se), 8.336.506.880 Bytes frei

Verzeichnis von C:\WINDOWS

30.10.2007 08:13 1.672.426 WindowsUpdate.log
29.10.2007 11:57 0 0.log
29.10.2007 11:57 4.216 ModemLog_Smart Link 56K Modem.txt
29.10.2007 11:56 159 wiadebug.log
29.10.2007 11:56 50 wiaservc.log
29.10.2007 11:55 32.560 SchedLgU.Txt
27.10.2007 18:44 292.402 ntbtlog.txt
27.10.2007 12:11 50 Lic.xxx
27.10.2007 12:10 305.030 setupapi.log
27.10.2007 12:09 564 win.ini
25.10.2007 21:33 227 system.ini
25.10.2007 01:12 299.050 wmsetup.log
22.10.2007 10:39 226.911 setupact.log
13.10.2007 21:38 176.130 iis6.log
13.10.2007 21:38 381.613 comsetup.log
13.10.2007 21:38 237.340 ntdtcsetup.log
13.10.2007 21:38 1.393 imsins.log
13.10.2007 21:38 59.396 ocmsn.log
13.10.2007 21:38 437.003 tsoc.log
13.10.2007 21:38 12.750 KB933729.log
13.10.2007 21:38 573.746 ocgen.log
13.10.2007 21:38 56.634 msgsocm.log
13.10.2007 21:38 1.120.164 FaxSetup.log
13.10.2007 21:38 63.147 updspapi.log
13.10.2007 21:38 1.393 imsins.BAK
13.10.2007 21:38 37.797 KB939653.log
13.10.2007 21:30 14.198 KB941202.log
03.10.2007 19:57 2.048 bootstat.dat
02.10.2007 13:01 782 nsw.log
30.09.2007 03:43 21 messer.ini
30.09.2007 03:32 737.280 iun6002.exe
18.09.2007 09:30 10.906 EventSystem.log
(usw.)

Verzeichnis von C:\WINDOWS\tasks

29.10.2007 11:56 6 SA.DAT
29.11.2006 19:49 122 Low Battery Alarm Program.job
18.08.2001 11:00 65 desktop.ini
3 Datei(en) 193 Bytes
0 Verzeichnis(se), 8.336.490.496 Bytes frei

Verzeichnis von C:\WINDOWS\temp

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 709E-6B15

Verzeichnis von C:\DOKUME~1\DATENL~1\LOKALE~1\Temp

30.10.2007 08:27 129.668 filelist.txt
1 Datei(en) 129.668 Bytes
0 Verzeichnis(se), 8.336.490.496 Bytes frei

So. Nachdem wir ein paar Tage im Nebel herum gestochert haben, kommen wir der Lösung möglicherweise ein Stück näher. Dazu mache ich wieder einmal eine Anleihe bei unserem User KarlKarl, es geht um diesen Eintrag aus deinem ursprünglichen HijckThis-Logfile:

Zitat:

Zitat von Sabine01

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe - Unbekannter Dienst. (svchost.ex)

Zitat:

Zitat von KarlKarl

das ist ein ADS. Um den Scannen zu können, muss er erst in eine normale Datei extrahiert werden. Das geht unter anderem mit Catchme. Das Programm am besten nach C:\ schreiben, die benötigte Befehlszeile für die Eingabeaufforderung lautet dann:

Code:

C:\catchme.exe -c C:\WINDOWS\system32\svchost.exe:exe.exe C:\bad.file

die kopiert den ADS nach C:\bad.file, die sich dann online scannen lässt.

(Bisher war ich davon ausgegangen, dass HijackThis ADSs nicht darstellt. :rolleyes:)

Also alles klar? Catchme.exe herunterladen, an der Eingabeaufforderung (Start -> Ausführen -> cmd.exe) den von KarlKarl angegebenen Befehl eingeben, im Anschluss die Datei C:\bad.file bei Virustotal scannen. Danach schauen wir weiter.

Habe dies gemacht.

Das schwarze Fenster zeigt mir an:

Zitat:

source file error: C:\WINDOWS\system32\svchost.exe:exe.exe

Habe die Datei C:\bad.file im Windows Explorer dennoch dann gefunden (dort zeigt sie 0 Byte an).

Nach Upload bei Virustotal lautet das Ergebnis:

Zitat:

0 bytes size received / Se ha recibido un archivo vacio

Soll ich mal Spybot Search & Destroy ausprobieren? Ich kenne das Programm nicht.

Viele Grüße, Sabine

Moin Sabine,

die svchost.exe:exe.exe hatte dem log zufolge Antivir in die Quarantäne geschoben (was immer das sein soll, nach ads sieht mir das Teil irgendwie auch nicht aus :balla:). Um vielleicht an ein paar Infos zu kommen, probier SDFix:

- downloaden
- sdfix.exe entpacken
- runthis.bat starten
- (U)pdaten! - aktuell ist v1.112
- in den abgesicherten Modus wechseln
- runthis.bat starten und Kaffee trinken
- report posten

Allerdings halte ich eine Bereinigung für einen Tanz mit dem Teufel. Ich zitiere mal raman aus nem anderen thread:

Zitat:

Zitat von raman

Zur Info: Der Rechner ist u.a. Mitglied eines Spam-botnetzes, wahrscheinlich Zhelatin:

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe

ins Netz solltest du mit dem Rechner nicht mehr, bitte!
__________________
MfG Ralf

Dein Antivirlog bestätigt imho die Infektion: Zahlenkolonne.exe D.h., du bist/warst vermutlich Teil eines Botnetzes. Hierzu noch ein Link aus dem protecusboard. Ich würde den Laden dicht machen und die Win-Installations-CD einlegen. Aber ist dein Ding. Gruß

Hallo!

Hier der Report:

Zitat:

SDFix: Version 1.113

Run by (BENUTZERNAME) on 31.10.2007 at 13:10

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\DOKUME~1\DATENL~1\Desktop\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\IEQN.DLL - Deleted
C:\WINDOWS\regedit.com - Deleted

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-31 13:20:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0001a1f3

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComputerDescriptions]
"\x2019%\xde?]%Q%\xa5?\xcd?"=""

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Programme\\DSL Connection Manager\\DSLCoMan.exe"="C:\\Programme\\DSL Connection Manager\\DSLCoMan.exe:*:Enabled:DSL Connection Manager"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:svchost"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

File Backups: - C:\DOKUME~1\DATENL~1\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes:

Wed 4 Aug 2004 93,184 A.SH. --- "C:\Programme\Internet Explorer\iexplore.exe"
Wed 4 Aug 2004 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Wed 4 Aug 2004 4,639 A.SH. --- "C:\Programme\Windows Media Player\mplayer2.exe"
Fri 3 Nov 2006 64,000 A.SH. --- "C:\Programme\Windows Media Player\wmplayer.exe"
Fri 3 Sep 2004 56 A.SHR --- "C:\WINDOWS\system32\01280A0D6B.sys"
Sun 26 Nov 2006 12,938 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Tue 16 May 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri 6 Jul 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Sat 10 Mar 2007 84,480 ...H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Vorlagen\~WRL2407.tmp"
Tue 7 Jun 2005 22,528 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0003.tmp"
Tue 21 Sep 2004 466,432 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0004.tmp"
Sat 26 Mar 2005 240,128 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0005.tmp"
Tue 7 Jun 2005 24,576 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0006.tmp"
Sat 2 Sep 2006 19,968 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0007.tmp"
Mon 23 May 2005 24,064 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0071.tmp"
Fri 22 Apr 2005 26,112 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0135.tmp"
Fri 22 Apr 2005 27,648 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0214.tmp"
Sat 2 Sep 2006 33,792 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0223.tmp"
Fri 22 Apr 2005 29,184 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0322.tmp"
Fri 10 Jun 2005 30,720 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0336.tmp"
Fri 22 Apr 2005 34,816 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0354.tmp"
Fri 10 Jun 2005 28,160 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0372.tmp"
Sun 27 Mar 2005 1,043,968 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0380.tmp"
Fri 10 Jun 2005 25,600 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0387.tmp"
Tue 7 Jun 2005 24,576 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0398.tmp"
Fri 22 Apr 2005 28,160 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0544.tmp"
Sun 27 Mar 2005 1,022,464 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0705.tmp"
Sun 27 Mar 2005 1,043,456 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0840.tmp"
Sun 27 Mar 2005 1,022,976 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0934.tmp"
Sat 26 Mar 2005 1,019,904 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL0981.tmp"
Mon 23 May 2005 19,968 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1157.tmp"
Fri 10 Jun 2005 27,136 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1307.tmp"
Mon 23 May 2005 19,456 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1328.tmp"
Fri 22 Apr 2005 32,768 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1405.tmp"
Mon 23 May 2005 22,016 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1512.tmp"
Fri 22 Apr 2005 32,768 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1610.tmp"
Thu 24 Feb 2005 120,320 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1613.tmp"
Sat 26 Mar 2005 241,664 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1615.tmp"
Sat 2 Sep 2006 27,648 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1623.tmp"
Fri 22 Apr 2005 27,648 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1768.tmp"
Sun 27 Mar 2005 1,022,976 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1861.tmp"
Fri 10 Jun 2005 26,624 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1915.tmp"
Sun 27 Mar 2005 1,022,464 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL1974.tmp"
Sat 26 Mar 2005 241,664 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2031.tmp"
Fri 22 Apr 2005 27,136 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2046.tmp"
Tue 7 Jun 2005 24,576 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2069.tmp"
Sat 26 Mar 2005 243,712 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2071.tmp"
Sat 26 Mar 2005 244,736 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2366.tmp"
Fri 22 Apr 2005 27,648 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2430.tmp"
Fri 22 Apr 2005 32,768 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2521.tmp"
Fri 22 Apr 2005 29,184 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2611.tmp"
Fri 22 Apr 2005 30,720 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2683.tmp"
Sat 26 Mar 2005 946,176 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2746.tmp"
Sat 26 Mar 2005 956,928 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2845.tmp"
Sat 2 Sep 2006 19,968 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2875.tmp"
Fri 22 Apr 2005 29,696 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL2935.tmp"
Mon 23 May 2005 21,504 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL3126.tmp"
Fri 22 Apr 2005 33,280 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL3142.tmp"
Sat 11 Jun 2005 27,648 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL3149.tmp"
Sat 26 Mar 2005 245,760 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL3152.tmp"
Fri 22 Apr 2005 25,600 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL3333.tmp"
Fri 22 Apr 2005 28,160 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL3649.tmp"
Mon 23 May 2005 26,112 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL3675.tmp"
Fri 22 Apr 2005 28,672 A..H. --- "C:\Dokumente und Einstellungen\(BENUTZERNAME)\Anwendungsdaten\Microsoft\Word\~WRL3858.tmp"

Finished!

Höchst interessant in dem Zusammenhang ist auch dieser Thread:
http://www.trojaner-board.de/45264-d...dig-daten.html, aus dem ich KarlKarls Hinweis entwendet hatte. ;)

Im Gegensatz zu dem Threadersteller wird bei dir, Sabine01, kein ADS gefunden, obwohl der wahrscheinlich böse Eintrag aus dem HijackThis-Logfile derselbe ist:

Zitat:

Zitat von nameless91 (Beitrag 302337)

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe

Langer Rede kurzer Sinn: Auch wenn keine wirklich eindeutigen Symptome für eine "Sturmwurm"-Infektion zu finden sind, solltest du meiner Ansicht nach ordells Empfehlung folgen.

Zitat:

Zitat von Sabine01 (Beitrag 302470)

Files with Hidden Attributes:

Wed 4 Aug 2004 93,184 A.SH. --- "C:\Programme\Internet Explorer\iexplore.exe"
Wed 4 Aug 2004 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Wed 4 Aug 2004 4,639 A.SH. --- "C:\Programme\Windows Media Player\mplayer2.exe"
Fri 3 Nov 2006 64,000 A.SH. --- "C:\Programme\Windows Media Player\wmplayer.exe"
Fri 3 Sep 2004 56 A.SHR --- "C:\WINDOWS\system32\01280A0D6B.sys"
Sun 26 Nov 2006 12,938 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Na holla die Waldfee. Dein System ist löchrig wie ein Schweizer Käse und komplett unterwandert. Bereinigung aussichtslos. Bitte setze neu auf, und stell dir die spannende Frage wie das passiert ist (emule?). Grüße