svchost.exe|Verbindet sich zu VIELEN IP´s
 

Vor ca. einer Woche fing das ganze an mega Lags und teilweise Baute sich auch keine Internetseite mehr auf. Habe sofort einen Member von Tomshardware geschrieben und er meinte ich sollte mal im Abgesicherten Modus und ohne Verbindung zum Internet Dr.Web und Malwarebytes durlaufen lassen paar sachen wurden gefunden jedoch bestand das problem weiterhin habe ne menge gegoogelt und bin des öfteren auf die Seite gestosen

Im Net Limiter wurd mir dann erstmal angezeigt das er sich zu fast 200 IP´s verbindet die von "All over the World" herkommen. http://bleikrone.de/meinenerven.bmp (Mein PC ist doch keine Dorfmatratze ;))


Ich hoffe ich mach das Richtig mit dem HijackThis log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:50, on 25.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\Programme\Raxco\PerfectDisk2008\PD91Agent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\krone.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Razer\Diamondback 3G\razerhid.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Razer\Diamondback 3G\razerofa.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Valve\Steam\steam.exe
c:\programme\valve\steam\steamapps\bleikrone\counter-strike source\hl2.exe
C:\Programme\Valve\Steam\GameOverlayUI.exe
C:\Programme\Opera\opera.exe
C:\Programme\NetLimiter 2 Pro\NLClient.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: Shell=krone.exe
O2 - BHO: (no name) - {C2BA40A1-74F3-42BD-F434-12345A2C8953} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback 3G\razerhid.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - Winlogon Notify: bfbbpmpa - bfbbpmpa32.dll (file missing)
O20 - Winlogon Notify: crypt - C:\WINDOWS\
O20 - Winlogon Notify: hgGxVOgH - C:\WINDOWS\
O20 - Winlogon Notify: RelevantKnowledge - C:\WINDOWS\
O23 - Service: Acronis Scheduler2 Service (acrsch2svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: ESET HTTP Server (ehttpsrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk2008\PD91Engine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Prime95 Service - Unknown owner - C:\Programme\Prime\prime95.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 8499 bytes

Hallo und :hallo:
Poste bitte alle Logs, es ist wichtig, was wo gefunden wurde.
Zur Zeit schon. :D

Du hast doch Acronis True Image installiert, warum spielst du nicht einfach ein sauberes Image zurück?

Starte HJT => Do a system scan only => Markiere:
=> Fix checked => Neustart => Neues HJT-Log posten.

ciao, andreas

Das Problem ich hab den log von Malwarebyte´s damals bzw vor paar Tagen nicht gespeichert weil ich nicht gedacht hätte das ich das jetzt bräuchte:heulen:

Ich hab auch damals als ich meine HDD´s gespiegelt hatte bzw das Backup, die andere Platte gelöscht wegen Speicherplatz Probleme:headbang:

Okkey "Fix Checked" Log File
Das ist jetzt das neue Log File / Dachte mit dem QUOTE sieht das schöner aus ;) /

Noch besser wäre es mit CODE gewesen. ;)

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

So habe das gemacht was du befohlen hast ; )
Habe die Alten LOG datein gefunden und die Neue Poste ich auch dazu als in Chronischer Rheienfolge von Alt nach Neu, komischer weise obwohl ich in letzter Zeit nicht wirklich was gemacht hatte hatt der heute wieder was gefunden...

UND ZUM LETZTEN MEINE GANZEN PROGRAMME:

Ähm, du weißt schon, was da gefunden wurde?
Dann schau mal: Bifrost (trojan horse) - Wikipedia, the free encyclopedia

Die verseuchte Kiste wieder sauber zu kriegen dauert bestimmt zwei volle Tage, eher mehr.

Spricht denn irgendetwas gegen die schnellere und sicherere Methode nämlich => http://www.trojaner-board.de/51262-a...sicherung.html?

ciao, andreas

Mach mich nicht schwach. Da bin ich Lieber bereit 2 Tage dafür zu Opfern.
Ich müsste all meine Server Daten, Login´s, IP`s, ect. alles aufschreiben.
Nebenbei mach ich Musik die müsst ich alle umkopieren, die ganzen Treiber sind auf dem neuesten Stand hab lange gebraucht bis ich mein Realtek Sound treiber zum Laufen gebracht hatte xD Jedenfalls ne menge spricht dagegen :D
Aber ist es denn sicher das des ding hinter her befreit ist?
Ich war so Stolz darauf das ich 4 Jahre meine Kiste nicht formatieren musste.

OMG!!! ^^

Wie bekomme ich den weg, den Trojaner?

Nein, genau das ist doch der Punkt. :)
Wenn es nur einer wäre, dann wäre es kein Problem, du hast da einen ganzen Zoo. :)

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Habe es ausgeführt ohne das irgendein Dienst am laufen war, hat aber nach ca. 3 Minuten Neugestartet, dachte das würde länger dauern ?

Wenn ich nen Zoo im PC habe dann spare ich mir ja das Eintritts Geld :rolleyes:

TeamViewer und VLC? :D

1.) Deinstalliere:

• Adobe Acrobat 5.0
• Adobe Flash Player ActiveX
• Adobe Flash Player Plugin
• AltBinz
• Apple Software Update
• Bonjour
• Daemon Tools Toolbar
• Google Update
• ICQ Toolbar
• ICQ6
• Java(TM) 6 Update 11
• Java(TM) 6 Update 7
• Perfect Disk, Raxco
• Skype™ 3.8
• Spybot - Search & Destroy
• TuneUp Utilities

2.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Am Anfang hab ich meine Server mit VNC konfiguriert schon 3 Jahre her da hab ich auch noch Windows als Server OS benützt, TeamViewer nur einmal benutzt, jetzt hab ich 2 Linux (Fedora,Ubuntu) Server die werden von mir über PuTTy und WinSCP gesteuert bzw Webmin etc.

Werde die Sachen löschen und Morgen das File ausführen, heute hat die Freundin ihren Abend ;)

Viel Spaß, ich bin erst am WE wieder bei meiner Freundin. :(

ciao, andreas

So hab es noch geschafft, AltBinz lag mir am Herzen ;)

EDIT: Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.

^^

Lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link oder poste es in mehreren Stücken.

ciao, andreas

Das war schon Spät gestern hätte mir einfallen müssen das es auch andere Methoden gibt : D

http://http://bleikrone.de/log.txt

http://http://bleikrone.de/info.txt

EDIT: PC war nicht einmal 5 Minuten an da verbindet er zu so vielen IP`s das ich nicht einmal hinterher gekommen bin mit den Bildern, gestern Abend ist mir auch mal kurz aufgefallen das svchost.exe mal 100 Prozent an CPU hatte.

http://bleikrone.de/troja1.bmp
http://bleikrone.de/troja2.bmp
http://bleikrone.de/troja3.bmp
http://bleikrone.de/troja4.bmp

Mir ist gerade ein Fehler aufgefallen EDIT: Funktion ging irgendwie auch nicht

http://bleikrone.de/log.txt
http://bleikrone.de/info.txt

Port 25, du versendest wie ein Weltmeister Spams. Trenne grundsätzlich die Verbindung zum Internet, falls du sie nicht zwingend brauchst, sonst wird es dir bald gehen wie dem hier => http://www.trojaner-board.de/66946-r...infiziert.html (Punkt 1)

1.) Deinstalliere

• ApexDC++
• AltBinz

Es tangiert mich nur peripher, dass du daran hängst. Wenn du mir beweisen kannst, dass du dich nicht mit Downloads über diese Programme infiziert hast, dann darfst du die behalten, ansonsten kommen die weg.

2.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked => Neustart

Warnung! Benutzung des Scriptes auf eigene Gefahr. Ich lösche alles, das ich nicht kenne. Falls nach dem Script keine Besserung eintritt => Neuinstallation

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Okkey hab ich so gemacht, den Log stell ich wieder als Link da.

http://bleikrone.de/log.txt

Da ist er. Du hattest da noch einen zweiten RAT (SubSeven), von dem dich allerdings Spybot bewahrt hat (oder auch nicht). Dem Rechner wirst du nie wieder vertrauen können.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hui, aber warum werd ich ihm nie wieder trauen können?
Aber er ist mein bester Freund ;) *haha* warn witz ^^

http://bleikrone.de/log.txt

Entweder das falsche Log oder das falsche Script. :(

ciao, andreas

p.s.: Das richtige findest du mit:

Start => Ausführen => c:\combofix.txt => OK.

Entschuldigung mein Fehler hier das Richtige ;)

http://bleikrone.de/ComboFix.txt

1.) Was meldet NetLimiter?

2.) Deaktiviere den Wächter von NOD32.

3.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN.

4.) Aktiviere den Wächter von NOD32.

5.) Erstelle ein Filelisting.

• Lade die Datei listing0.bat auf deinen Desktop
• Doppelklicke auf listing0.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Materialordner.de) hochladen und hier den Link posten.

6.) GMER - Rootkit Detection

http://pic.leech.it/i/ab0bc/635985fgmer60.jpg

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

NetLimiter zeigt immer noch an das er verbinden will, aber hab den Port bzw. die Verbindung erstmal gekappt von dem Dienst svchost.exe

hier die txt. datein ich denk mal du wirst jetzt schon bei deiner Freundin sein :bussi:

Ich wünsch dir ein erholsames verlängertes Wochenende ; )

http://bleikrone.de/gmer.txt

http://bleikrone.de/listing.txt

Warum hast du die listing.txt editiert?

ciao, andreas

Wie meinst Editiert Oo ?
hab einfach das listinig.txt aufm Server gehauen hab damit nichts gemacht.

Windows benutzt als Zeilenendekennung 0d 0a, so ist es auch im gmerlog zu sehen, aber im listing.txt ist nur 0a. Das ist unter Unix/Linux üblich, wird allerdings auch von einigen Editoren benutzt, aber weder das ursprüngliche Listing noch das evtl. benutzte Listing von Notepad benutzen 0a sondern 0d 0a.

Ergo: Da hat jemand editiert und ich wüsste jetzt gerne warum.

Das ist mir übrigens aufgefallen, als ich die Links angeklickt habe. Beim Gmerlog hat Opera das als Textdatei angezeigt, bei listing.txt kam die Speicherndialogbox, weil Opera mit nur 0a nichts anfangen konnte.

ciao, andreas

Oo Bahnhof... ich werd sofort alles beide nochmal machen, und nochmal Posten,

So , habs nochmal gemacht, genauso wie ichs gestern gemacht hatte hoffentlich fehlt nichts.

http://bleikrone.de/gmer.txt

http://bleikrone.de/listing.txt

1.) Blacklight ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

2.) Führe Superantispyware nach dieser Anleitung aus und poste das Log: http://www.trojaner-board.de/51871-a...tispyware.html

3.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

4.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

5.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas