Trojaner-Board - HiJackThis Log-File auswertung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HiJackThis Log-File auswertung (https://www.trojaner-board.de/53745-hijackthis-log-file-auswertung.html)

HiJackThis Log-File auswertung

servus,
seit dem ich vor ein paar tagen, ein programm runtergeladen hab,erscheint beim anmelden links oben ein kleines fenster in dem steht "persönliche einstellungen einrichten azur". "hijack this" sagt mir dass die datei svshosts.exe gefährlich ist, diese kann ich aber nicht finden.
ausversehn hab ich dann die datei svchost.exe an einen Virenscanner im netz geschickt (name fällt mir leider im moment nicht ein) und nur einer von 36 stück (prevx v2) konnte in dieser datei einen Trojaner lokalisieren.
Bin dann auf das programm security task manager gestoßen, der mir auch sagt dass die datei svshosts.exe gefährlich ist, und auch eine enorm hohe cpu auslastung bewirkt. durch das programm konnte ich die datei unter quarantäne stellen so dass sie beim system start nicht gelanden wird, beim nächsten reboot kam dann die meldung "persönliche einstellungen einrichten azur" auch nicht mehr. wars dass schon? oder ist mein rechner immer noch infiziert.

der logfile hab ich bevor ich security task manager installiert und die datei unter quarantäne gestellt hab erstellt.

danke schon mal im Voraus

amd 3200+ 64bit
1gb ram
asus k8v board

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]

ich hoff das ist nun besser. wenn nicht alle guten dinge sind 3 =).

Code:

 Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:43:59, on 07.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\snmp.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

F:\AlienGUIse\wbload.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svshosts.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\RunDLL32.exe

F:\WLAN Monitor\wlconfig.exe

F:\asus\asus probe\AsusProb.exe

C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe

F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

F:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\WINDOWS\system32\ctfmon.exe

F:\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\DOKUME~1\ALLUSE~1\ANWEND~1\AccSys\FD4C32~1\accwpac.exe

F:\FIREFOX\FIREFOX.EXE

F:\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Java\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - f:\FlashFXP\IEFlash.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WLAN Quick Starter] "f:\WLANQU~1\WLAN Quick Starter.exe" -update

O4 - HKLM\..\Run: [wlconfig] "F:\WLAN Monitor\wlconfig.exe" -autostart

O4 - HKLM\..\Run: [ASUS Probe] f:\asus\asus probe\AsusProb.exe

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKCU\..\Run: [LDM] f:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\svshosts.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = F:\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: An vorhandenes PDF anfügen - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQLiteICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQLiteICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: bw+0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw+0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - f:\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: bwg0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwg0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: offline-8876480 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
 

--

End of file - 19697 bytes

guten morgen,
ich weis ich kann das nicht als selbstverständlich ansehn dass ihr mir bei meinem problem hilft. wär euch aber richtig dankbar wenn ihr mir sagen könnt wie ich das wieder hinbekomm. mit hilfe des programm "security task manager"
hab ich die Datei "IAdHide5.dll" ebenfalls wie die datei "svshosts.exe" in quantäne gestellt.

wie bekomm ich mein system wieder sicher?

vielen dank im voraus für eure bemühungen.

can you speake arabic !!!
becaus I'am in alger

Hi,
das sieht relativ bös aus...
Wenn die Datei zu dem Trojaner gehört, den ich vermute war es das definitiv noch nicht. :D

Erstell bitte ein Log mit Combofix: Anleitung und poste es hier.

Lass bitte außerdem auch die Dateien svshosts.exe und IAdHide5.dll bei virustotal auswerten und poste das gesamte Ergebnis hier. :)
Wo war die IAdHide5.dll denn? Inwiefern wurde sie als böse eingstuft?

lg myrtille

danke werd das mit dem combofix gleich mal heute abend machen, sobald ich wieder daheim bin.

combofix muss ich dann aus der wiederherstellungskonsole öffnen oder nicht? wenn nein muss ich diese dann zwingend installieren?

die datei svshosts.exe kann man nicht finden, er sagt zwar sie befindet sich unter C:\windows\system32\ aber dort findet man sie nicht auch wenn ich die geschützen systemdatein anzeigen lasse.

die datei IAdHide.dll steht unter C:\dokumente und einstellungen\***\Lokale einstellungen\temp\
das programm "security task manager" hat diese als potential gefährlichste datei eingestuft, drum hab ich sie mal rausgenommen.

aber wie gesagt seit dem ich die datei svshost.exe unter quantäne gestellt habe, erscheint nach dem anmelden, dieses fenst links oben nicht mehr: persönliche einstellungen einrichten für azur"

danke für die rasche antwort

Nein Combofix muss nicht aus der Herstellungskonsole gestartet werden.
Es ist allerdings vorzuziehen die Wiederherstellungskonsole zu installieren, weil sie uns mehr Möglichkeiten für eine Bereinigung gibt.

lg myrtille

also hab nun den combofix durchlaufen lassen, einmal ohne die svshosts.exe und das eine mal hab ich sie aus der quantäne gelassen und erneut einen log-file erstellen lassen.

zuerst den log OHNE die svshosts.exe

Code:

ComboFix 08-06-10.5 - *** 2008-06-11 17:33:35.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.662 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\system32\Cache

C:\WINDOWS\system32\drivers\npf.sys

C:\WINDOWS\system32\Packet.dll

C:\WINDOWS\system32\pthreadVC.dll

C:\WINDOWS\system32\WanPacket.dll

C:\WINDOWS\system32\wpcap.dll
 

.

(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_NPF

-------\Service_NPF
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-05-11 bis 2008-06-11  ))))))))))))))))))))))))))))))

.
 

2008-06-09 22:36 . 2008-06-11 17:36        <DIR>        d--------        C:\Programme\Crawler

2008-06-09 22:00 . 2008-06-10 22:16        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan

2008-06-06 21:51 . 2008-06-06 21:51        132,242        --a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat

2008-06-06 21:49 . 2008-06-06 21:49        14,901,760        --a------        C:\WINDOWS\AntiVir 2008.exe

2008-06-06 20:04 . 2008-06-06 20:13        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp

2008-06-05 23:12 . 2008-06-05 23:12        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Macrovision Shared

2008-06-05 22:09 . 2008-06-05 22:14        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet

2008-06-03 20:17 . 2008-06-03 20:18        <DIR>        d--------        C:\Programme\Google

2008-06-03 20:17 . 2008-06-09 21:53        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

2008-06-03 20:11 . 2008-06-03 20:11        <DIR>        d--h-----        C:\WINDOWS\system32\GroupPolicy

2008-05-30 21:24 . 2008-05-30 21:24        5,883        --a------        C:\fw.htm

2008-05-21 12:46 . 2008-05-21 12:46        3,932,214        --a------        C:\WINDOWS\InvaderDark1280.bmp

2008-05-21 12:45 . 2008-05-21 12:45        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Stardock

2008-05-21 12:45 . 2003-02-26 22:27        36,864        --a------        C:\WINDOWS\system32\wbsys.dll

2008-05-21 12:45 . 2008-05-21 12:45        42        --a------        C:\WINDOWS\wb.ini

2008-05-20 10:45 . 2008-06-06 21:24        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-09 20:35        ---------        d-----w        C:\Programme\Spyware Terminator

2008-06-09 20:20        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Spyware Terminator

2008-06-05 21:06        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe

2008-06-03 18:09        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype

2008-05-23 20:12        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM

2008-05-21 18:57        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator

2008-05-21 15:31        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Ahead

2008-05-21 09:55        98,304        ----a-w        C:\WINDOWS\DUMP345e.tmp

2008-05-02 11:38        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-05-02 11:38        ---------        d-----w        C:\Programme\Gemeinsame Dateien\AccSys

2008-05-02 11:38        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AccSys

2007-11-26 23:10        3,932        ----a-w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMLayout.dat

2007-11-26 23:10        268        ----a-w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMCPaper.dat

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LDM"="f:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2006-07-13 18:54 36864]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 28160 C:\WINDOWS\KHALMNPR.Exe]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]

"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="NvMCTray.dll" [2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll]

"wlconfig"="F:\WLAN Monitor\wlconfig.exe" [2007-08-31 12:40 1492536]

"ASUS Probe"="f:\asus\asus probe\AsusProb.exe" [2002-12-06 16:07 617984]

"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-03-05 21:24 2957824]

"Acrobat Assistant 8.0"="F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]

F:\AlienGUIse\fastload.dll 2001-12-20 23:34 24576 F:\AlienGUIse\fastload.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=wbsys.dll
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"F:\\Skype\\Phone\\Skype.exe"=

"E:\\Age of Empires\\empires2.exe"=

"F:\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"D:\\eMule.de\\emule.exe"=

"C:\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Microsoft Office\\Office12\\GROOVE.EXE"=

"C:\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"F:\\ICQLiteICQ6\\ICQ.exe"=

"E:\\volley\\volley.exe"=

"F:\\SmartFTP Client\\SmartFTP.exe"=

"f:\\FlashFXP\\FlashFXP.exe"=

"E:\\Counter - Strike - Zero\\czero.exe"=

"E:\\Medal - of - Honor\\MOHAA.exe"=

"E:\\Quake - 3\\Quake III\\QUAKE3\\quake3.exe"=

"E:\\Need - for - Speed - Underground - 1\\speed.exe"=

"F:\\iTunes\\iTunes.exe"=

"F:\\Zattoo\\zattood.exe"=

"F:\\Zattoo\\Zattoo1.exe"=

"E:\\Cossacks - Back To War\\dmcr.exe"=

"C:\\WINDOWS\\system32\\dplaysvr.exe"=

"E:\\Age of Empires III\\age3.exe"=

"F:\\Gamez2\\Delta Force\\dfbhdlc.exe"=

"F:\\Skype\\Skype.exe"=
 

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-03-05 21:24]

R1 tvtool;tvtool;f:\TVTool\tvtool.sys [1996-04-03 20:33]

R2 accvssvc;AccSys WLAN Control Service;C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe [2007-08-29 18:07]

R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2007-05-07 13:43]

S3 ASUSHWIO;ASUSHWIO;C:\WINDOWS\system32\drivers\ASUSHWIO.sys []

S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys []

S3 DT154_A02;T-Sinus 154data Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys []

S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]

S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []

S3 w32n5223;w32n5223 Protocol Driver;C:\PROGRA~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS []
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77468c2c-c8a3-11da-98f2-000ea6748993}]

\Shell\AutoRun\command - L:\preinst.exe
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CAB7B150-B41B-B8F0-F160-F2F006DD303D}]

C:\WINDOWS\system32\svshosts.exe

.

Inhalt des "geplante Tasks" Ordners

"2008-03-25 12:07:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Programme\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-11 17:40:57

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------
 

PROCESS: C:\WINDOWS\explorer.exe

-> C:\WINDOWS\system32\nview.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\snmp.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

F:\AlienGUIse\wbload.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

F:\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-06-11 17:43:23 - machine was rebooted

ComboFix-quarantined-files.txt  2008-06-11 15:43:10
 

              12 Verzeichnis(se),  2,318,340,096 Bytes frei

              16 Verzeichnis(se),  2,562,936,832 Bytes frei
 

159

und nun der log MIT der svshosts.exe

Code:

ComboFix 08-06-10.5 - *** 2008-06-11 18:09:06.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.686 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
 
 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-05-11 bis 2008-06-11  ))))))))))))))))))))))))))))))

.
 

2008-06-09 22:36 . 2008-06-11 18:03        <DIR>        d--------        C:\Programme\Crawler

2008-06-09 22:00 . 2008-06-11 18:05        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan

2008-06-06 21:51 . 2008-06-06 21:51        132,242        --a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat

2008-06-06 21:49 . 2008-06-06 21:49        14,901,760        --a------        C:\WINDOWS\AntiVir 2008.exe

2008-06-06 20:04 . 2008-06-06 20:13        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp

2008-06-05 23:12 . 2008-06-05 23:12        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Macrovision Shared

2008-06-05 22:09 . 2008-06-05 22:14        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet

2008-06-03 20:17 . 2008-06-03 20:18        <DIR>        d--------        C:\Programme\Google

2008-06-03 20:17 . 2008-06-09 21:53        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

2008-06-03 20:11 . 2008-06-03 20:11        <DIR>        d--h-----        C:\WINDOWS\system32\GroupPolicy

2008-05-30 21:24 . 2008-05-30 21:24        5,883        --a------        C:\fw.htm

2008-05-21 12:46 . 2008-05-21 12:46        3,932,214        --a------        C:\WINDOWS\InvaderDark1280.bmp

2008-05-21 12:45 . 2008-05-21 12:45        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Stardock

2008-05-21 12:45 . 2003-02-26 22:27        36,864        --a------        C:\WINDOWS\system32\wbsys.dll

2008-05-21 12:45 . 2008-05-21 12:45        42        --a------        C:\WINDOWS\wb.ini

2008-05-20 10:45 . 2008-06-06 21:24        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-09 20:35        ---------        d-----w        C:\Programme\Spyware Terminator

2008-06-09 20:20        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Spyware Terminator

2008-06-05 21:06        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe

2008-06-03 18:09        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype

2008-05-23 20:12        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM

2008-05-21 18:57        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator

2008-05-21 15:31        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Ahead

2008-05-21 09:55        98,304        ----a-w        C:\WINDOWS\DUMP345e.tmp

2008-05-02 17:18        3,930        ----a-w        C:\WINDOWS\system32\ealregsnapshot1.reg

2008-05-02 11:38        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-05-02 11:38        ---------        d-----w        C:\Programme\Gemeinsame Dateien\AccSys

2008-05-02 11:38        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AccSys

2007-11-26 23:10        3,932        ----a-w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMLayout.dat

2007-11-26 23:10        268        ----a-w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMCPaper.dat

2001-08-18 12:00        15,184,335        --sha-w        C:\WINDOWS\system32\svshosts.exe

.
 

(((((((((((((((((((((((((((((   snapshot@2008-06-11_17.42.58.29   )))))))))))))))))))))))))))))))))))))))))

.

- 2008-06-11 15:40:30        2,048        --s-a-w        C:\WINDOWS\bootstat.dat

+ 2008-06-11 16:07:37        2,048        --s-a-w        C:\WINDOWS\bootstat.dat

- 2008-06-11 15:40:33        219,207        ----a-w        C:\WINDOWS\system32\inetsrv\MetaBase.bin

+ 2008-06-11 16:07:41        219,203        ----a-w        C:\WINDOWS\system32\inetsrv\MetaBase.bin

+ 2008-06-11 15:58:24        16,384        ----atw        C:\WINDOWS\Temp\Perflib_Perfdata_740.dat

.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LDM"="f:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2006-07-13 18:54 36864]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 28160 C:\WINDOWS\KHALMNPR.Exe]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]

"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="NvMCTray.dll" [2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll]

"wlconfig"="F:\WLAN Monitor\wlconfig.exe" [2007-08-31 12:40 1492536]

"ASUS Probe"="f:\asus\asus probe\AsusProb.exe" [2002-12-06 16:07 617984]

"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-03-05 21:24 2957824]

"Acrobat Assistant 8.0"="F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
 

C:\Dokumente und Einstellungen\robin\Startmen\Programme\Autostart\

Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

Logitech Desktop Messenger.lnk - F:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2006-07-13 18:54:36 196608]

Logitech SetPoint.lnk - F:\Logitech\SetPoint\SetPoint.exe [2006-04-09 14:25:40 528384]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]

F:\AlienGUIse\fastload.dll 2001-12-20 23:34 24576 F:\AlienGUIse\fastload.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=wbsys.dll
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"F:\\Skype\\Phone\\Skype.exe"=

"E:\\Age of Empires\\empires2.exe"=

"F:\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"D:\\eMule.de\\emule.exe"=

"C:\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Microsoft Office\\Office12\\GROOVE.EXE"=

"C:\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"F:\\ICQLiteICQ6\\ICQ.exe"=

"E:\\volley\\volley.exe"=

"F:\\SmartFTP Client\\SmartFTP.exe"=

"f:\\FlashFXP\\FlashFXP.exe"=

"E:\\Counter - Strike - Zero\\czero.exe"=

"E:\\Medal - of - Honor\\MOHAA.exe"=

"E:\\Quake - 3\\Quake III\\QUAKE3\\quake3.exe"=

"E:\\Need - for - Speed - Underground - 1\\speed.exe"=

"F:\\iTunes\\iTunes.exe"=

"F:\\Zattoo\\zattood.exe"=

"F:\\Zattoo\\Zattoo1.exe"=

"E:\\Cossacks - Back To War\\dmcr.exe"=

"C:\\WINDOWS\\system32\\dplaysvr.exe"=

"E:\\Age of Empires III\\age3.exe"=

"F:\\Gamez2\\Delta Force\\dfbhdlc.exe"=

"F:\\Skype\\Skype.exe"=
 

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-03-05 21:24]

R1 tvtool;tvtool;f:\TVTool\tvtool.sys [1996-04-03 20:33]

R2 accvssvc;AccSys WLAN Control Service;C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe [2007-08-29 18:07]

R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2007-05-07 13:43]

S3 ASUSHWIO;ASUSHWIO;C:\WINDOWS\system32\drivers\ASUSHWIO.sys []

S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys []

S3 DT154_A02;T-Sinus 154data Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys []

S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]

S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []

S3 w32n5223;w32n5223 Protocol Driver;C:\PROGRA~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS []
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77468c2c-c8a3-11da-98f2-000ea6748993}]

\Shell\AutoRun\command - L:\preinst.exe
 

*Newly Created Service* - CATCHME
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CAB7B150-B41B-B8F0-F160-F2F006DD303D}]

C:\WINDOWS\system32\svshosts.exe

.

Inhalt des "geplante Tasks" Ordners

"2008-03-25 12:07:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Programme\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-11 18:10:18

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-06-11 18:10:46

ComboFix-quarantined-files.txt  2008-06-11 16:10:43

ComboFix2.txt  2008-06-11 15:43:23
 

              12 Verzeichnis(se),  2,568,708,096 Bytes frei

              15 Verzeichnis(se),  2,559,217,664 Bytes frei
 

139

vielen dank wie immer im voraus

Hi,

Zitat:

C:\WINDOWS\AntiVir 2008.exe

lass die Datei bitte mal bei virustotal auswerten und poste die kompletten Ergebnisse hier.
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).

lg myrtille

hm,
ich glaub ich hab die datei gestern gelöscht, (bin mir nicht ganz sicher ob es genau diese war, oder sie unter einem anderen verzeichnis stand) wiel es mir suspekt vorkam dass die datei noch da ist, weil ich dachte von avira antivir alles gelöscht zuhaben. avira antivir ist das programm welches ich installieren wollte und anschließend die probleme ihren lauf nahmen.

danke für die schnelle auswertung der log-files.

Außerdem habe ich ein Verzeichnis mit Passware\ gefunden, dass ich aber defenitiv nicht installiert habe. Google sagt mit dass dies ein Passwort wiederherstellungsprogramm ist.

Hi,
das ist natürlich ärgerlich...

Erstell bitte ein neues Log mit Combofix und erstelle ein Log mit Smitfraudfix.

Auf der Seite einfach die Anleitung zu Suche abarbeiten.

lg myrtille

hab die datei wiederherstellen können, virustotal hat nichts gefunden, das ist die log dazu

Code:

File size: 14901760 bytes

MD5...: a422e301072e04a6c348c42e5204e7a6

SHA1..: d78dba84d71f9a9412c2e0339b8aa24e2a04af05

SHA256: 12cb19170c0514b5c4f9afb8a73080a67296f4e1df6dd59cd71703d0cde44a89

SHA512: 7955cee56152877caa43403427923ae7eb6cfbd1e13e6c9ecb13f4fb5ab26a7c

8ba45106445920b2e4b69344906f2f32f98e73812cb7b339001caf90c51431e7

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x401000

timedatestamp.....: 0x438d6c1c (Wed Nov 30 09:08:44 2005)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x13000 0x12600 6.46 53468de97666db941961271ee7d0e342

.data 0x14000 0x7000 0xa00 4.73 269bd2f0d4c4a03fbcb3319118ee6c3e

.idata 0x1b000 0x1000 0x1000 5.02 7f9440e32acb299f3bda96288136b63a

.rsrc 0x1c000 0x10c24 0x10e00 4.45 d52f3cbc3e1e7a1c97acbd06434ea9b7
 

( 8 imports )

> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW

> KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA

> COMCTL32.DLL: -

> COMDLG32.DLL: CommDlgExtendedError, GetOpenFileNameA

> GDI32.DLL: DeleteObject

> SHELL32.DLL: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA

> USER32.DLL: CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA

> OLE32.DLL: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize
 

( 0 exports )

und hier gleich noch die log von smitfraudfix,
danke für deine engagierte mitarbeit.

habs wie in der anleitung beschrieben im abgesicherten modus gestartet

Code:

SmitFraudFix v2.323
 

Scan done at 22:04:00,04, 12.06.2008

Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» Process
 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix\Policies.exe

C:\WINDOWS\system32\cmd.exe
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Die derzeitige Homepage"

 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="wbsys.dll"
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2EDC5480-9A9E-4CFE-ACB5-C7D6654EEA19}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7704DCAA-B986-40E0-8D85-2E92BF1E8CD1}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{2EDC5480-9A9E-4CFE-ACB5-C7D6654EEA19}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{7704DCAA-B986-40E0-8D85-2E92BF1E8CD1}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{2EDC5480-9A9E-4CFE-ACB5-C7D6654EEA19}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Hi,
das sieht gut aus. :)

Lass bitte die svshosts.exe bei virustotal auswerten.

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
nichts am Rechner getan werden
nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

Lade dir Catchme runter auf deinen Desktop.
Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
Starte durch Klick auf "Scan".
Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

lg myrtille

wollte gerade den scan von Gmer posten, der hat aber 111782 zeichen und erlaubt sind "nur" 25000 zeichen

log splitten? in 5teile

die datei svshosts.exe kann ich im system nicht finden
nur die datei SVSHOSTS.EXE-29581A17.pf