Hallo liebes Trojaner-Board-Team,
seit knapp einer Woche beobachte ich unregelmäßigen Abständen folgenden Netzverkehr:
23:03:22,0071232 svchost.exe 1468 TCP Reconnect localhost:1383 -> i104.panamamails.com:http SUCCESS Length: 0 00000000:000003e7 0
23:03:28,0426054 svchost.exe 1468 TCP Reconnect localhost:1383 -> i104.panamamails.com:http SUCCESS Length: 0 00000000:000003e7 0
23:03:40,0242080 svchost.exe 1468 TCP Disconnect localhost:1383 -> i104.panamamails.com:http SUCCESS Length: 0 00000000:000003e7 0
ich habe das komplette subnetz, zu dem die Domain auflöst in meiner externen Firewall (Astaro) gesperrt, daher die Reconnect-Versuche.
Ab und zu kommen auch Versuche auf folgende IPs vor:
61.61.20.132
112.121.181.26
91.212.226.6
Auch die habe ich im Packetfilter gesperrt.
Antivir und Eset finden nichts.
Auch Spybot und Malwarebytes Anti-Malware zeigen keinen Übeltäter an.
Ich habe verzweifelt nach dem Urheber der Verbindungen gesucht und alle DLLs, die vom betreffenden svchost geladen sind mittels MD5 über den Dateiinhalt gegen die selben Dateien von einem garantiert sauberen System geprüft, und keine Unregelmäßigkeit festgestellt.
Ich bin jetzt ehrlich gesagt mit meinem Latein (und mit meinen Nerven) am Ende.
Hier mein HJT-Log:
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:23:31, on 24.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\brsvc01a.exe
C:\WINXP\system32\brss01a.exe
C:\WINXP\system32\spoolsv.exe
H:\Avira\AntiVir Desktop\sched.exe
H:\Avira\AntiVir Desktop\avguard.exe
H:\Avira\AntiVir Desktop\avshadow.exe
H:\NVIDIA\nTune\nTuneService.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\RTHDCPL.EXE
H:\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\ctfmon.exe
H:\Eraser\eraser.exe
H:\TrueCrypt\TrueCrypt.exe
C:\WINXP\system32\rundll32.exe
H:\D-Tools\DAEMON Tools Lite\daemon.exe
H:\Spybot - Search & Destroy\TeaTimer.exe
C:\WINXP\system32\dllhost.exe
H:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\HiJackThis204.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.100:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [avgnt] "H:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [NVIDIA nTune] "H:\NVIDIA\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] H:\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [TrueCrypt] "H:\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [DAEMON Tools Lite] "H:\D-Tools\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://H:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://H:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://H:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://H:\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - H:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINXP\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - H:\NVIDIA\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
--
End of file - 5136 bytes
falls es hilft auch noch ein Startup-Log:
Code:
StartupList report, 24.05.2010, 22:21:55
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\HiJackThis204.EXE
Detected: Windows XP SP3 (WinNT 5.01.2600)
Detected: Internet Explorer v8.00 (8.00.6001.18702)
* Using default options
* Showing rarely important sections
==================================================
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\brsvc01a.exe
C:\WINXP\system32\brss01a.exe
C:\WINXP\system32\spoolsv.exe
H:\Avira\AntiVir Desktop\sched.exe
H:\Avira\AntiVir Desktop\avguard.exe
H:\Avira\AntiVir Desktop\avshadow.exe
H:\NVIDIA\nTune\nTuneService.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\RTHDCPL.EXE
H:\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\ctfmon.exe
H:\Eraser\eraser.exe
H:\TrueCrypt\TrueCrypt.exe
C:\WINXP\system32\rundll32.exe
H:\D-Tools\DAEMON Tools Lite\daemon.exe
H:\Spybot - Search & Destroy\TeaTimer.exe
C:\WINXP\system32\dllhost.exe
H:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\HiJackThis204.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINXP\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RTHDCPL = RTHDCPL.EXE
Alcmtr = ALCMTR.EXE
SystemTray = SysTray.Exe
avgnt = "H:\Avira\AntiVir Desktop\avgnt.exe" /min
nwiz = C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
NvCplDaemon = RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
NVIDIA nTune = "H:\NVIDIA\nTune\nTuneCmd.exe" clear
ctfmon.exe = C:\WINXP\system32\ctfmon.exe
Eraser = H:\Eraser\eraser.exe -hide
TrueCrypt = "H:\TrueCrypt\TrueCrypt.exe" /q preferences
DAEMON Tools Lite = "H:\D-Tools\DAEMON Tools Lite\daemon.exe" -autorun
SpybotSD TeaTimer = h:\Spybot - Search & Destroy\TeaTimer.exe
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[OptionalComponents]
=
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}] *
StubPath = C:\WINXP\system32\ieudinit.exe
[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINXP\inf\unregmp2.exe /ShowWMP
[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = C:\WINXP\system32\ie4uinit.exe -UserIconConfig
[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] *
StubPath = "C:\WINXP\system32\rundll32.exe" "C:\WINXP\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = C:\WINXP\system32\ie4uinit.exe -BaseSettings
[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINXP\system32\Rundll32.exe C:\WINXP\system32\mscories.dll,Install
--------------------------------------------------
Shell & screensaver key from C:\WINXP\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Checking for EXPLORER.EXE instances:
C:\WINXP\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
C:\WINXP\Explorer\Explorer.exe: not present
C:\WINXP\System\Explorer.exe: not present
C:\WINXP\System32\Explorer.exe: not present
C:\WINXP\Command\Explorer.exe: not present
C:\WINXP\Fonts\Explorer.exe: not present
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - H:\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
--------------------------------------------------
Enumerating Download Program Files:
[Shockwave Flash Object]
InProcServer32 = C:\WINXP\system32\Macromed\Flash\Flash10b.ocx
CODEBASE = hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
--------------------------------------------------
Enumerating Winsock LSP files:
NameSpace #4: C:\Programme\Bonjour\mdnsNSP.dll
NameSpace #5: C:\WINXP\system32\wshbth.dll
--------------------------------------------------
Enumerating Windows NT/2000/XP services
Warndienst: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Avira AntiVir Planer: "H:\Avira\AntiVir Desktop\sched.exe" (autostart)
Avira AntiVir Guard: "H:\Avira\AntiVir Desktop\avguard.exe" (autostart)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
avgntflt: system32\DRIVERS\avgntflt.sys (autostart)
BrSplService: C:\WINXP\system32\brsvc01a.exe (autostart)
Computerbrowser: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
DHCP-Client: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
DNS-Client: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)
Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Server: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Arbeitsstationsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
NetGroup Packet Filter Driver: system32\drivers\npf.sys (autostart)
nTune Service: H:\NVIDIA\nTune\nTuneService.exe /StartService (autostart)
NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Dienste: %SystemRoot%\system32\lsass.exe (autostart)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: system32\DRIVERS\secdrv.sys (autostart)
Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Systemwiederherstellungsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Webclient: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINXP\system32\SHELL32.dll
CDBurn: C:\WINXP\system32\SHELL32.dll
WebCheck: C:\WINXP\system32\webcheck.dll
SysTray: C:\WINXP\system32\stobject.dll
WPDShServiceObj: C:\WINXP\system32\WPDShServiceObj.dll
--------------------------------------------------
End of report, 9.795 bytes
Report generated in 0,063 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
und die Liste der geladenen DLLs:
Code:
Description: Generic Host Process for Win32 Services
Company: Microsoft Corporation
Name: svchost.exe
Version: 5.1.2600.5512
Path: C:\WINXP\System32\svchost.exe
Command Line: C:\WINXP\System32\svchost.exe -k netsvcs
PID: 1416
Parent PID: 952
Session ID: 0
User: NT-AUTORITÄT\SYSTEM
Auth ID: 00000000:000003e7
Architecture: 32-bit
Virtualized: n/a
Integrity: n/a
Started: 24.05.2010 00:27:10
Ended: (Running)
Modules:
Normaliz.dll 0x760000 0x9000 C:\WINXP\system32\Normaliz.dll Microsoft Corporation
xpsp2res.dll 0xb90000 0x2d9000 C:\WINXP\System32\xpsp2res.dll Microsoft Corporation
svchost.exe 0x1000000 0x6000 C:\WINXP\System32\svchost.exe Microsoft Corporation
mdnsNSP.dll 0x16080000 0x19000 C:\Programme\Bonjour\mdnsNSP.dll Apple Computer, Inc.
WININET.dll 0x408b0000 0xe6000 C:\WINXP\system32\WININET.dll Microsoft Corporation
iertutil.dll 0x40f50000 0x1e8000 C:\WINXP\system32\iertutil.dll Microsoft Corporation
wmiprvsd.dll 0x42160000 0x72000 C:\WINXP\system32\wbem\wmiprvsd.dll Microsoft Corporation
urlmon.dll 0x452e0000 0x133000 C:\WINXP\system32\urlmon.dll Microsoft Corporation
eappprxy.dll 0x47700000 0xe000 c:\winxp\system32\eappprxy.dll Microsoft Corporation
wscsvc.dll 0x4c170000 0x17000 c:\winxp\system32\wscsvc.dll Microsoft Corporation
WINHTTP.dll 0x4d5c0000 0x59000 C:\WINXP\System32\WINHTTP.dll Microsoft Corporation
RASQEC.DLL 0x4db70000 0x13000 C:\WINXP\System32\RASQEC.DLL Microsoft Corporation
wmisvc.dll 0x4f110000 0x28000 c:\winxp\system32\wbem\wmisvc.dll Microsoft Corporation
wuauserv.dll 0x50000000 0x5000 c:\winxp\system32\wuauserv.dll Microsoft Corporation
wuaueng.dll 0x50040000 0x1d9000 C:\WINXP\system32\wuaueng.dll Microsoft Corporation
wuapi.dll 0x506a0000 0x8e000 C:\WINXP\system32\wuapi.dll Microsoft Corporation
unimdm.tsp 0x58030000 0x36000 C:\WINXP\System32\unimdm.tsp Microsoft Corporation
ndptsp.tsp 0x58090000 0x10000 C:\WINXP\System32\ndptsp.tsp Microsoft Corporation
kmddsp.tsp 0x580b0000 0xb000 C:\WINXP\System32\kmddsp.tsp Microsoft Corporation
ipconf.tsp 0x580c0000 0x8000 C:\WINXP\System32\ipconf.tsp Microsoft Corporation
hidphone.tsp 0x580d0000 0xa000 C:\WINXP\System32\hidphone.tsp Microsoft Corporation
h323.tsp 0x580e0000 0x46000 C:\WINXP\System32\h323.tsp Microsoft Corporation
6to4svc.dll 0x583c0000 0x1d000 c:\winxp\system32\6to4svc.dll Microsoft Corporation
wship6.dll 0x590b0000 0x7000 C:\WINXP\System32\wship6.dll Microsoft Corporation
NETAPI32.dll 0x597d0000 0x55000 C:\WINXP\System32\NETAPI32.dll Microsoft Corporation
UxTheme.dll 0x5b0f0000 0x38000 C:\WINXP\System32\UxTheme.dll Microsoft Corporation
ShimEng.dll 0x5cf00000 0x26000 C:\WINXP\System32\ShimEng.dll Microsoft Corporation
comctl32.dll 0x5d450000 0x9a000 C:\WINXP\system32\comctl32.dll Microsoft Corporation
ESENT.dll 0x5e200000 0x110000 c:\winxp\system32\ESENT.dll Microsoft Corporation
dot3api.dll 0x5f8f0000 0xa000 c:\winxp\system32\dot3api.dll Microsoft Corporation
ncprov.dll 0x5fb30000 0xe000 C:\WINXP\system32\wbem\ncprov.dll Microsoft Corporation
NCObjAPI.DLL 0x5fb60000 0xc000 C:\WINXP\system32\NCObjAPI.DLL Microsoft Corporation
mspatcha.dll 0x604a0000 0xb000 C:\WINXP\System32\mspatcha.dll Microsoft Corporation
QUtil.dll 0x61900000 0x16000 c:\winxp\system32\QUtil.dll Microsoft Corporation
hnetcfg.dll 0x66710000 0x59000 C:\WINXP\System32\hnetcfg.dll Microsoft Corporation
ipnathlp.dll 0x668d0000 0x56000 c:\winxp\system32\ipnathlp.dll Microsoft Corporation
rsaenh.dll 0x68000000 0x36000 C:\WINXP\System32\rsaenh.dll Microsoft Corporation
hidserv.dll 0x68d80000 0x9000 c:\winxp\system32\hidserv.dll Microsoft Corporation
HID.DLL 0x68d90000 0x9000 c:\winxp\system32\HID.DLL Microsoft Corporation
eappcfg.dll 0x6db40000 0x22000 c:\winxp\system32\eappcfg.dll Microsoft Corporation
AcGenral.DLL 0x6fd90000 0x1ca000 C:\WINXP\AppPatch\AcGenral.DLL Microsoft Corporation
audiosrv.dll 0x70dc0000 0xd000 c:\winxp\system32\audiosrv.dll Microsoft Corporation
dot3dlg.dll 0x71260000 0x6000 c:\winxp\system32\dot3dlg.dll Microsoft Corporation
wshtcpip.dll 0x719f0000 0x8000 C:\WINXP\System32\wshtcpip.dll Microsoft Corporation
WS2HELP.dll 0x71a00000 0x8000 C:\WINXP\System32\WS2HELP.dll Microsoft Corporation
WS2_32.dll 0x71a10000 0x17000 C:\WINXP\System32\WS2_32.dll Microsoft Corporation
wsock32.dll 0x71a30000 0xa000 C:\WINXP\System32\wsock32.dll Microsoft Corporation
SAMLIB.dll 0x71b70000 0x13000 C:\WINXP\System32\SAMLIB.dll Microsoft Corporation
kerberos.dll 0x71c70000 0x4c000 C:\WINXP\system32\kerberos.dll Microsoft Corporation
uniplat.dll 0x71f90000 0x7000 C:\WINXP\System32\uniplat.dll Microsoft Corporation
rasppp.dll 0x721d0000 0x37000 C:\WINXP\System32\rasppp.dll Microsoft Corporation
sensapi.dll 0x72240000 0x5000 C:\WINXP\System32\sensapi.dll Microsoft Corporation
sens.dll 0x72260000 0xd000 c:\winxp\system32\sens.dll Microsoft Corporation
WinSCard.dll 0x72360000 0x1c000 C:\WINXP\System32\WinSCard.dll Microsoft Corporation
ntlsapi.dll 0x72420000 0x6000 C:\WINXP\System32\ntlsapi.dll Microsoft Corporation
OneX.DLL 0x72760000 0x28000 c:\winxp\system32\OneX.DLL Microsoft Corporation
WINSPOOL.DRV 0x72f70000 0x26000 C:\WINXP\System32\WINSPOOL.DRV Microsoft Corporation
WZCSAPI.DLL 0x72fa0000 0x10000 c:\winxp\system32\WZCSAPI.DLL Microsoft Corporation
tapisrv.dll 0x73350000 0x40000 c:\winxp\system32\tapisrv.dll Microsoft Corporation
seclogon.dll 0x73c90000 0x8000 c:\winxp\system32\seclogon.dll Microsoft Corporation
wbemcons.dll 0x73ca0000 0x17000 C:\WINXP\system32\wbem\wbemcons.dll Microsoft Corporation
WINIPSEC.DLL 0x742e0000 0xb000 C:\WINXP\System32\WINIPSEC.DLL Microsoft Corporation
EapolQec.dll 0x745c0000 0xb000 c:\winxp\system32\EapolQec.dll Microsoft Corporation
msxml3.dll 0x74900000 0x123000 C:\WINXP\system32\msxml3.dll Microsoft Corporation
POWRPROF.dll 0x74a50000 0x8000 c:\winxp\system32\POWRPROF.dll Microsoft Corporation
wbemsvc.dll 0x74e50000 0xe000 C:\WINXP\system32\wbem\wbemsvc.dll Microsoft Corporation
SSDPAPI.dll 0x74e80000 0xc000 C:\WINXP\system32\SSDPAPI.dll Microsoft Corporation
pchsvc.dll 0x74ec0000 0xc000 c:\winxp\pchealth\helpctr\binaries\pchsvc.dll Microsoft Corporation
MSIDLE.DLL 0x74ed0000 0x5000 C:\WINXP\System32\MSIDLE.DLL Microsoft Corporation
ersvc.dll 0x74f00000 0x9000 c:\winxp\system32\ersvc.dll Microsoft Corporation
dmserver.dll 0x74f10000 0x9000 c:\winxp\system32\dmserver.dll Microsoft Corp.
wmiutils.dll 0x74fa0000 0x1c000 C:\WINXP\system32\wbem\wmiutils.dll Microsoft Corporation
trkwks.dll 0x74ff0000 0x19000 c:\winxp\system32\trkwks.dll Microsoft Corporation
srvsvc.dll 0x75010000 0x1a000 c:\winxp\system32\srvsvc.dll Microsoft Corporation
RESUTILS.DLL 0x75030000 0x12000 C:\WINXP\System32\RESUTILS.DLL Microsoft Corporation
MTXCLU.DLL 0x75070000 0x13000 C:\WINXP\system32\MTXCLU.DLL Microsoft Corporation
colbact.DLL 0x750b0000 0x14000 C:\WINXP\system32\colbact.DLL Microsoft Corporation
Cabinet.dll 0x750d0000 0x13000 C:\WINXP\System32\Cabinet.dll Microsoft Corporation
wshbth.dll 0x750f0000 0x1e000 C:\WINXP\system32\wshbth.dll Microsoft Corporation
srsvc.dll 0x75120000 0x2e000 c:\winxp\system32\srsvc.dll Microsoft Corporation
repdrvfs.dll 0x75180000 0x2f000 C:\WINXP\system32\wbem\repdrvfs.dll Microsoft Corporation
wbemcomn.dll 0x75210000 0x37000 C:\WINXP\system32\wbem\wbemcomn.dll Microsoft Corporation
esscli.dll 0x75290000 0x3f000 C:\WINXP\System32\Wbem\esscli.dll Microsoft Corporation
certcli.dll 0x752d0000 0x33000 c:\winxp\system32\certcli.dll Microsoft Corporation
wbemess.dll 0x75310000 0x46000 C:\WINXP\system32\wbem\wbemess.dll Microsoft Corporation
VSSAPI.DLL 0x75360000 0x6d000 C:\WINXP\system32\VSSAPI.DLL Microsoft Corporation
rastapi.dll 0x75490000 0x11000 C:\WINXP\System32\rastapi.dll Microsoft Corporation
RASDLG.dll 0x754d0000 0xab000 C:\WINXP\System32\RASDLG.dll Microsoft Corporation
netcfgx.dll 0x75580000 0x9d000 C:\WINXP\system32\netcfgx.dll Microsoft Corporation
FastProx.dll 0x75620000 0x76000 C:\WINXP\System32\Wbem\FastProx.dll Microsoft Corporation
MSVCP60.dll 0x76020000 0x65000 c:\winxp\system32\MSVCP60.dll Microsoft Corporation
comsvcs.dll 0x76090000 0x13c000 C:\WINXP\system32\comsvcs.dll Microsoft Corporation
wbemcore.dll 0x76260000 0x85000 C:\WINXP\System32\Wbem\wbemcore.dll Microsoft Corporation
WINSTA.dll 0x76300000 0x10000 C:\WINXP\System32\WINSTA.dll Microsoft Corporation
IMM32.DLL 0x76330000 0x1d000 C:\WINXP\system32\IMM32.DLL Microsoft Corporation
netshell.dll 0x763a0000 0x1aa000 c:\winxp\system32\netshell.dll Microsoft Corporation
USERENV.dll 0x76620000 0xb6000 C:\WINXP\system32\USERENV.dll Microsoft Corporation
cryptdll.dll 0x76740000 0xc000 C:\WINXP\System32\cryptdll.dll Microsoft Corporation
NTDSAPI.dll 0x76750000 0x13000 c:\winxp\system32\NTDSAPI.dll Microsoft Corporation
w32time.dll 0x76770000 0x2d000 c:\winxp\system32\w32time.dll Microsoft Corporation
SCHANNEL.dll 0x767a0000 0x28000 C:\WINXP\System32\SCHANNEL.dll Microsoft Corporation
CRYPTUI.dll 0x76880000 0x85000 C:\WINXP\System32\CRYPTUI.dll Microsoft Corporation
SXS.DLL 0x76970000 0xb1000 C:\WINXP\System32\SXS.DLL Microsoft Corporation
atl.dll 0x76ad0000 0x11000 C:\WINXP\System32\atl.dll Microsoft Corporation
WINMM.dll 0x76af0000 0x2e000 C:\WINXP\System32\WINMM.dll Microsoft Corporation
schedsvc.dll 0x76b20000 0x34000 c:\winxp\system32\schedsvc.dll Microsoft Corporation
sfc.dll 0x76b60000 0x5000 C:\WINXP\System32\sfc.dll Microsoft Corporation
PSAPI.DLL 0x76bb0000 0xb000 C:\WINXP\System32\PSAPI.DLL Microsoft Corporation
credui.dll 0x76bc0000 0x2f000 c:\winxp\system32\credui.dll Microsoft Corporation
WINTRUST.dll 0x76bf0000 0x2e000 C:\WINXP\System32\WINTRUST.dll Microsoft Corporation
sfc_os.dll 0x76c20000 0x2a000 C:\WINXP\System32\sfc_os.dll Microsoft Corporation
imagehlp.dll 0x76c50000 0x28000 C:\WINXP\system32\imagehlp.dll Microsoft Corporation
raschap.dll 0x76ca0000 0x16000 C:\WINXP\System32\raschap.dll Microsoft Corporation
cryptsvc.dll 0x76cd0000 0x12000 c:\winxp\system32\cryptsvc.dll Microsoft Corporation
WMI.dll 0x76cf0000 0x4000 c:\winxp\system32\WMI.dll Microsoft Corporation
MPRAPI.dll 0x76d00000 0x18000 C:\WINXP\System32\MPRAPI.dll Microsoft Corporation
iphlpapi.dll 0x76d20000 0x19000 c:\winxp\system32\iphlpapi.dll Microsoft Corporation
CLUSAPI.DLL 0x76d60000 0x12000 C:\WINXP\System32\CLUSAPI.DLL Microsoft Corporation
upnp.dll 0x76da0000 0x24000 C:\WINXP\system32\upnp.dll Microsoft Corporation
adsldpc.dll 0x76dd0000 0x25000 C:\WINXP\System32\adsldpc.dll Microsoft Corporation
wkssvc.dll 0x76e00000 0x23000 c:\winxp\system32\wkssvc.dll Microsoft Corporation
rtutils.dll 0x76e40000 0xe000 c:\winxp\system32\rtutils.dll Microsoft Corporation
rasman.dll 0x76e50000 0x12000 C:\WINXP\System32\rasman.dll Microsoft Corporation
TAPI32.dll 0x76e70000 0x2f000 C:\WINXP\System32\TAPI32.dll Microsoft Corporation
RASAPI32.dll 0x76ea0000 0x3c000 C:\WINXP\System32\RASAPI32.dll Microsoft Corporation
DNSAPI.dll 0x76ee0000 0x27000 c:\winxp\system32\DNSAPI.dll Microsoft Corporation
WTSAPI32.dll 0x76f10000 0x8000 c:\winxp\system32\WTSAPI32.dll Microsoft Corporation
WLDAP32.dll 0x76f20000 0x2d000 C:\WINXP\system32\WLDAP32.dll Microsoft Corporation
winrnr.dll 0x76f70000 0x8000 C:\WINXP\System32\winrnr.dll Microsoft Corporation
rasadhlp.dll 0x76f80000 0x6000 C:\WINXP\System32\rasadhlp.dll Microsoft Corporation
CLBCATQ.DLL 0x76f90000 0x7f000 C:\WINXP\System32\CLBCATQ.DLL Microsoft Corporation
COMRes.dll 0x77010000 0xd3000 C:\WINXP\System32\COMRes.dll Microsoft Corporation
OLEAUT32.dll 0x770f0000 0x8b000 C:\WINXP\system32\OLEAUT32.dll Microsoft Corporation
browser.dll 0x772f0000 0x16000 c:\winxp\system32\browser.dll Microsoft Corporation
comctl32.dll 0x773a0000 0x103000 C:\WINXP\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll Microsoft Corporation
ole32.dll 0x774b0000 0x13d000 C:\WINXP\system32\ole32.dll Microsoft Corporation
NTMARTA.DLL 0x77660000 0x21000 C:\WINXP\System32\NTMARTA.DLL Microsoft Corporation
AUTHZ.dll 0x77690000 0x12000 c:\winxp\system32\AUTHZ.dll Microsoft Corporation
shsvcs.dll 0x776b0000 0x23000 c:\winxp\system32\shsvcs.dll Microsoft Corporation
es.dll 0x776e0000 0x44000 c:\winxp\system32\es.dll Microsoft Corporation
SETUPAPI.DLL 0x778f0000 0xf4000 C:\WINXP\System32\SETUPAPI.DLL Microsoft Corporation
CRYPT32.dll 0x77a50000 0x96000 c:\winxp\system32\CRYPT32.dll Microsoft Corporation
MSASN1.dll 0x77af0000 0x12000 c:\winxp\system32\MSASN1.dll Microsoft Corporation
Apphelp.dll 0x77b10000 0x22000 C:\WINXP\system32\Apphelp.dll Microsoft Corporation
MSACM32.dll 0x77bb0000 0x15000 C:\WINXP\System32\MSACM32.dll Microsoft Corporation
VERSION.dll 0x77bd0000 0x8000 C:\WINXP\system32\VERSION.dll Microsoft Corporation
msvcrt.dll 0x77be0000 0x58000 C:\WINXP\system32\msvcrt.dll Microsoft Corporation
msv1_0.dll 0x77c40000 0x25000 C:\WINXP\system32\msv1_0.dll Microsoft Corporation
ACTIVEDS.dll 0x77c90000 0x32000 C:\WINXP\System32\ACTIVEDS.dll Microsoft Corporation
netman.dll 0x77cd0000 0x33000 c:\winxp\system32\netman.dll Microsoft Corporation
ADVAPI32.dll 0x77da0000 0xaa000 C:\WINXP\system32\ADVAPI32.dll Microsoft Corporation
RPCRT4.dll 0x77e50000 0x92000 C:\WINXP\system32\RPCRT4.dll Microsoft Corporation
GDI32.dll 0x77ef0000 0x49000 C:\WINXP\system32\GDI32.dll Microsoft Corporation
SHLWAPI.dll 0x77f40000 0x76000 C:\WINXP\system32\SHLWAPI.dll Microsoft Corporation
Secur32.dll 0x77fc0000 0x11000 C:\WINXP\system32\Secur32.dll Microsoft Corporation
kernel32.dll 0x7c800000 0x108000 C:\WINXP\system32\kernel32.dll Microsoft Corporation
ntdll.dll 0x7c910000 0xb9000 C:\WINXP\system32\ntdll.dll Microsoft Corporation
msi.dll 0x7d1f0000 0x2bc000 c:\winxp\system32\msi.dll Microsoft Corporation
dhcpcsvc.dll 0x7d4c0000 0x22000 c:\winxp\system32\dhcpcsvc.dll Microsoft Corporation
rastls.dll 0x7d4f0000 0x27000 C:\WINXP\System32\rastls.dll Microsoft Corporation
wzcsvc.dll 0x7db20000 0x8c000 c:\winxp\system32\wzcsvc.dll Microsoft Corporation
rasmans.dll 0x7dee0000 0x32000 C:\WINXP\System32\rasmans.dll Microsoft Corporation
USER32.dll 0x7e360000 0x91000 C:\WINXP\system32\USER32.dll Microsoft Corporation
SHELL32.dll 0x7e670000 0x821000 C:\WINXP\system32\SHELL32.dll Microsoft Corporation
Hat jemand ne Idee wer der Übeltäter sein könnte ?
Beste Grüße
Michael
PS: hab noch was interessantes vergessen.
bevor die Probleme angefangen sind gabs bei Anti-Malware zwei Funde:
Code:
Infizierte Dateien:
C:\WINXP\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> No action taken.
hab die Dinger per hand gelöscht. Die Probleme fingen erst danach an. (ca. 2 Wochen vorher)
Und Antivir meldet hin und wieder mal:
Code:
In der Datei 'H:\System Volume Information\_restore{E0E48CA0-AB7E-41D5-A3FD-47E6EAC6A94E}\RP255\A0101733.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.54272.BY' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
In der Datei 'H:\System Volume Information\_restore{E0E48CA0-AB7E-41D5-A3FD-47E6EAC6A94E}\RP255\A0101734.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.539136.B' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
das war aber auch schon vor dem Problem so.
