Trojaner-Board - 8 mal svchost.exe,1 mit fund von html-scriptvirus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - 8 mal svchost.exe,1 mit fund von html-scriptvirus (https://www.trojaner-board.de/63514-8-mal-svchost-exe-1-fund-html-scriptvirus.html)

8 mal svchost.exe,1 mit fund von html-scriptvirus

Hallo Forum
Gestern habe ich bemerkt dass einige Sachen nicht so laufen wie sie sollten: Beim Task-Manager fehlten manchmal die Prozesse, manchmal die Registerkarten und immer die Aktionsleiste oben, genauso bei allen Ordnern war keine Aktionsleiste da und der Computer war durchgehend ausgelastet.
Dann wollte ich Avira Antivirus durchlaufen lassen, welcher aber eine komische Fehlermeldung anzeigte, worauf ich mit Malwarebytes 3 Trojaner gefunden und gelöscht habe. Als ich wieder in den Task Manager sah habe ich gesehen dass da 8 svchost.exe waren.
http://img3.imagebanana.com/img/wjn2...skmngr.bmp.png(der markierte frisst auch noch ziemlich viel Speicher.) Daraufhin habe ich gleich gegooglet was es damit auf sich hat. Als ich gesehen habe dass das nix besonderes heißen muss dachte ich es wäre okay und hab aber trotzdem noch den Avira Antivirus laufen lassen. Dieser hatte einen Trojaner gefunden bei dem etwas stand dass er irgendwas in die Registry schreibt was schädliche Dateien runterlädt. Der Antivirus hat den Trojaner gelöscht und ich hab den Suchlauf weiterlaufen lassen. Ein paar Minuten später hörte ich dass der Computer neu startet. Als ich wieder am Computer war war von dem Antivirus durchlauf nichts mehr zu sehen. Als ich den Internet Explorer startete bekam ich diese Meldung:
http://img3.imagebanana.com/img/szmu9kt/Fund.JPG
Dadurch habe ich den Verdacht dass die vielen svchost.exe etwas mit dem Trojaner zu tun haben.
Hier mal die HiJackThis logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:58:43, on 03.11.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

C:\Programme\Analog Devices\SoundMAX\SMTray.exe

C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe

C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\FRITZ!DSL\IGDCTRL.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Dokumente und Einstellungen\***\Desktop\ProcessExplorer\procexp.exe

C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe

C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 82.208.46.135:80

O1 - Hosts: 121.128.133.26 gwgt1.joymax.com

O1 - Hosts: 121.128.133.27 gwgt1.joymax.com

O1 - Hosts: 121.128.133.28 gwgt1.joymax.com

O1 - Hosts: 85.25.131.18 status.wow-europe.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt8.dll (file missing)

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Policies\Explorer\Run: [ishost.exe] ishost.exe

O4 - HKLM\..\Policies\Explorer\Run: [kernel32.dll] C:\WINDOWS\system32\isnotify.exe

O4 - HKLM\..\Policies\Explorer\Run: [issearch.exe] issearch.exe

O4 - HKCU\..\Policies\Explorer\Run: [{78025CB0-0BB0-1031-0128-040222050031}] "C:\Programme\Gemeinsame Dateien\{78025CB0-0BB0-1031-0128-040222050031}\Update.exe" mc-110-12-0000272

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: w2pxdrv.dll

O10 - Unknown file in Winsock LSP: w2pxdrv.dll

O10 - Unknown file in Winsock LSP: w2pxdrv.dll

O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188115531140

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://129.27.62.190/activex/AMC.cab

O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://www.playwhat.com/solidPlugin/solidstateion.cab

O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab

O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://195.37.84.27/activex/AMC.cab

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)

O22 - SharedTaskScheduler: {03413bf7-e34c-445b-bfc0-a2b127255871} - incestuously - (no file)

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: InstallShield Licensing Service - InstallShield - C:\Programme\Gemeinsame Dateien\InstallShield Shared\Service\InstallShield Licensing Service.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: SQL Server Browser (SQLBrowser) - Unknown owner - C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (file missing)
 

--

End of file - 10308 bytes

Danke im Vorraus:daumenhoc
Gruß Kosti2

Ganz schön verseucht. Besonders arg ist das ausspioniert wirst, das würd ich gleich mal fixen.

Auch wenn ich kein Fachmann bin, allerdings kann ich dir jetzt schon sagen das sich da einiges angesammelt hat und es wohl oder übel besser sein wird das System zu plätten.
Die Außmase kannst du hier sehen:
http://www.hijackthis.de

Poste mal dein Logfile darein und du wirst doch recht schnell sehen das hier einiges am werkeln ist....

Ob da noch was zu machen ist bezweifle ich, da dein PC einfach schon zu stark infiziert ist in meinen Augen.
Somit kann schlecht sichergestellt werden das du wirklich alles erwischst.
Also bei so einem extremen Befall würde ich alle Textdokumente und Bilder die ich habe und benötige sichern und dann einmal gut Holz und formatieren.

Hi
Danke für eure schnelle Hilfe:daumenhoc
also bei der auswertung sind ja folgende sachen:

Code:

   O1 - Hosts: 121.128.133.27 gwgt1.joymax.com

  

Sehr sicher Muss gefixt werden!  

   O1 - Hosts: 121.128.133.28 gwgt1.joymax.com  

Sehr sicher Muss gefixt werden!  

   O1 - Hosts: 85.25.131.18 status.wow-europe.com  

 Muss gefixt werden!  
 

   O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt8.dll (file missing)  

 Unbedingt fixen!

Unnötiger (unwirksamer) 

Eintrag der entfernt werden kann! ixt0.dll, ixt1.dll, ixt*.dll (* = digit) - Variant of the Zlob-QG,

 http://www.sophos.com/security/analyses/ trojzlobqg.html trojan and hijacker, redirecting to bestsafetyguide.net,

 a site offering rogue "spyware removers" for download such as MalwareW   

 O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)  

 Unbedingt fixen! 
    O4 - HKLM\..\Policies\Explorer\Run: [ishost.exe] ishost.exe  

 Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt.

 Um ganz sicher zu sein, sollten Sie diese Datei hier überprüfen.  

   O4 - HKLM\..\Policies\Explorer\Run: [kernel32.dll] C:\WINDOWS\system32\isnotify.exe  

äußerst schädlich Schädlich (1.42 / 5.00) 

   O4 - HKLM\..\Policies\Explorer\Run: [issearch.exe] issearch.exe  

äußerst schädlich Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt.

 Um ganz sicher zu sein, sollten Sie diese Datei hier überprüfen.  

   O4 - HKCU\..\Policies\Explorer\Run: [{78025CB0-0BB0-1031-0128-040222050031}] 

"C:\Programme\Gemeinsame Dateien\{78025CB0-0BB0-1031-0128-040222050031}\Update.exe" mc-110-12-0000272  

 Schädlich (1.72 / 5.00) 

   O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\RunApp.exe (file missing)  

 

Unnötiger (unwirksamer) Eintrag der entfernt werden kann! Der Eintrag PartyPoker.com wurde als Gut erkannt. 

   O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\RunApp.exe (file missing)  

 

Unnötiger (unwirksamer) Eintrag der entfernt werden kann! Der Eintrag PartyPoker.com wurde als Gut erkannt. 

   O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)  

Schädlich  

   O22 - SharedTaskScheduler: {03413bf7-e34c-445b-bfc0-a2b127255871} - incestuously - (no file)  

äußerst schädlich

die kursiv geschriebenen sachen sind doch eigentlich gar nicht so schlimm oder? die fett geschriebenen schau ich mir gleich mal an, falls ich die wieder hin krieg sollte des doch eigentlich kein problem sein oder? formatieren wär ziemlich aufwendig die gründe dafür will ich ma nich nennen ;) mal angenommen ich würde nix bis auf des trojaner ding wegmachen, wie stark und wie würde das meinem computer schaden? und würde es auch noch einen unterschied machen ob ich jetzt formatiere oder erst in 3 oder 6 monaten? ich kenn mich wirklich nciht gut damit aus :/
gruß kosti2

Zitat:

Zitat von Kosti2 (Beitrag 388633)

Hi
Danke für eure schnelle Hilfe:daumenhoc
also bei der auswertung sind ja folgende sachen:

Code:

   O1 - Hosts: 121.128.133.27 gwgt1.joymax.com

  

Sehr sicher Muss gefixt werden!  

   O1 - Hosts: 121.128.133.28 gwgt1.joymax.com  

Sehr sicher Muss gefixt werden!  

   O1 - Hosts: 85.25.131.18 status.wow-europe.com  

 Muss gefixt werden!  
 

   O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt8.dll (file missing)  

 Unbedingt fixen!

Unnötiger (unwirksamer) 

Eintrag der entfernt werden kann! ixt0.dll, ixt1.dll, ixt*.dll (* = digit) - Variant of the Zlob-QG,

 http://www.sophos.com/security/analyses/ trojzlobqg.html trojan and hijacker, redirecting to bestsafetyguide.net,

 a site offering rogue "spyware removers" for download such as MalwareW   

 O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)  

 Unbedingt fixen! 
    O4 - HKLM\..\Policies\Explorer\Run: [ishost.exe] ishost.exe  

 Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt.

 Um ganz sicher zu sein, sollten Sie diese Datei hier überprüfen.  

   O4 - HKLM\..\Policies\Explorer\Run: [kernel32.dll] C:\WINDOWS\system32\isnotify.exe  

äußerst schädlich Schädlich (1.42 / 5.00) 

   O4 - HKLM\..\Policies\Explorer\Run: [issearch.exe] issearch.exe  

äußerst schädlich Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt.

 Um ganz sicher zu sein, sollten Sie diese Datei hier überprüfen.  

   O4 - HKCU\..\Policies\Explorer\Run: [{78025CB0-0BB0-1031-0128-040222050031}] 

"C:\Programme\Gemeinsame Dateien\{78025CB0-0BB0-1031-0128-040222050031}\Update.exe" mc-110-12-0000272  

 Schädlich (1.72 / 5.00) 

   O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\RunApp.exe (file missing)  

 

Unnötiger (unwirksamer) Eintrag der entfernt werden kann! Der Eintrag PartyPoker.com wurde als Gut erkannt. 

   O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\RunApp.exe (file missing)  

 

Unnötiger (unwirksamer) Eintrag der entfernt werden kann! Der Eintrag PartyPoker.com wurde als Gut erkannt. 

   O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)  

Schädlich  

   O22 - SharedTaskScheduler: {03413bf7-e34c-445b-bfc0-a2b127255871} - incestuously - (no file)  

äußerst schädlich

Wie gesagt bin kein Experte, aber für mich sieht das System einfach so aus als wäre es so infiziert das es nicht mehr reparabel ist. Denn ein Trojaner öffnet ja deinen PC und dies wird meist dazu benutzt um weitere Schadsoftware bei dir zu hinterlassen. Sprich hast du ein Trojaner ist nicht ausgeschlossen das du noch 2-3 mehr hast.
Spyware ist sicherlich ärgerlich aber meistens nicht wirklich gefährlich.

Das dir die Hosts bereits umgelegt wurden zeigt mir allerdings das hier schon mehr am Werk war als zu verkraften ist. Sprich es kann nicht sichergestelllt werden ob du z.B. einen E-Mail Server bereits auf dem Rechner hast oder aber ein Passworddecrypter sich festgefahren hat.

Generell solltest du auf solchen Rechnern nicht mehr ins Internet da man einfach nicht genau sagen kann was los ist bzw. was wirklich auf deinem PC herumfleucht.

Ich habe das gleiche durch wie du. Ein Trojaner wo Tür und Tor geöffnet hat und schlussendlich auch noch fast mein komplettes Netzwerk zuhause infiziert hat (rechtzeitig platt gemacht, die ersten sys files für den Netzwerktroja waren bereits übertragen).
Aber warte am besten noch auf einen Experten der wird sicherlich wissen ob noch etwas zu machen ist (evtl. combofix, anti-malware, etc.) oder aber ob so wie ich glaube das ganze zu risikoreich ist (Systemdateien schwerstwiegend infiltriert).

Zitat:

Zitat von emotopia (Beitrag 388638)

hmm es wär halt relativ aufwendig die ganzen sachen die ich auf dem computer hab wieder drauf zu kriegen
wenn irgendwelche passwörter ausspioniert werden wärs mir egal ich hab kein einziges auf dem computer was mir irgendwie schaden könnte bis auf meine spielaccount passwörter aber die sind mir auch egal weil ich eh nicht mehr wirklich spiele
das einzigste problem wäre wenn der trojaner aufs netzwerk zugreift, meine eltern haben e-banking und mein bruder wär auch ziemlich angefressen wenn er etwas bekommen würde
vor kurzer zeit hatten meine eltern nen silentbanker aufm computer, etwa 2 monate davor schon nen virus der ihnen nen "anti"virus aufdrehen wollten der war ziemlich hartnäckig. des is mist -.-
welche von den sachen is die die mich ausspioniert?
und was meinst du mit den hosts? die 3 joymax dinger sind von nem spiel des hat mir mal n freund gemacht damit ich da auch spielen konnte und wow-europe is ja von world of warcraft
naja danke für die hilfe
gruß kosti2

edit: hab noch was vergessen: bei der hijackthis log die ishost.exe und issearch.exe hab ich in der registry gefunden, wie kann ich die auf die empfohlene seite(Online malware scan) hochladen udn reicht es wenn ich sie lösch? vielleicht sind sien och von den 3 gelöschten viren von gestern?

edit2: O22 - SharedTaskScheduler: {03413bf7-e34c-445b-bfc0-a2b127255871} - incestuously - (no file)
wie schadet es wenn die datei nicht da ist? ich versteh des nicht wirklich
auch bei anderen zB O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\RunApp.exe (file missing)
wie kann des schaden?

also ich hab mal n paar sachen ausprobiert und rumgegoogled und da n paar sachen gefunden die mir geholfen haben
die hijackthis logfile sieht schon viel besser aus

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:42:37, on 03.11.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

C:\Programme\Analog Devices\SoundMAX\SMTray.exe

C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe

C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\FRITZ!DSL\IGDCTRL.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Dokumente und Einstellungen\Robin\Desktop\HiJackThis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 82.208.46.135:80

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt8.dll (file missing)

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Policies\Explorer\Run: [{78025CB0-0BB0-1031-0128-040222050031}] "C:\Programme\Gemeinsame Dateien\{78025CB0-0BB0-1031-0128-040222050031}\Update.exe" mc-110-12-0000272

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: w2pxdrv.dll

O10 - Unknown file in Winsock LSP: w2pxdrv.dll

O10 - Unknown file in Winsock LSP: w2pxdrv.dll

O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188115531140

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://129.27.62.190/activex/AMC.cab

O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://www.playwhat.com/solidPlugin/solidstateion.cab

O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab

O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://195.37.84.27/activex/AMC.cab

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)

O22 - SharedTaskScheduler: {03413bf7-e34c-445b-bfc0-a2b127255871} - incestuously - (no file)

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: InstallShield Licensing Service - InstallShield - C:\Programme\Gemeinsame Dateien\InstallShield Shared\Service\InstallShield Licensing Service.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: SQL Server Browser (SQLBrowser) - Unknown owner - C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (file missing)
 

--

End of file - 9689 bytes

ich hab da alle systemwiederherstellungspunkte gelöscht danach kam dann auch ne meldung dass windows updates verfügbar sind und java updates
dann hab ich in der hosts datei die sachen wieder gelöscht
die trojanerdinger hab ich mit so nem avenger script gelöscht da war auch noch anderes drin was es bei mir net gab aber des macht ja auch nix
die sachen die jetzt noch da sind versteh ich nich so ganz:

Code:

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt8.dll (file missing)

da hab ich mal nach der file gegooglet und gelesen dass des malware is und so zeugs aber wieso is des dann n problem wenn die fehlt? sollte des nicht eigentlich gut sein? genauso bei

Code:

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)

an die safety bar kann ich mich sogar noch erinnern des is aber schon n jahr oder so her des wollt mir immer was andrehen bis ichs dann gelöscht gekriegt hab aber warum stört des jetzt?

Code:

O4 - HKCU\..\Policies\Explorer\Run: [{78025CB0-0BB0-1031-0128-040222050031}] "C:\Programme\Gemeinsame Dateien\{78025CB0-0BB0-1031-0128-040222050031}\Update.exe" mc-110-12-0000272

keine ahnung was des sein soll

Code:

O22 - SharedTaskScheduler: {03413bf7-e34c-445b-bfc0-a2b127255871} - incestuously - (no file)

da hab ich auch keine ahnung was ich machen soll was is des?

Code:

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)

hier genauso des is anscheinend spyware warum is des dann schlecht dass die fehlt?
gruß kosti2