xp antispyware 2009

RaDjA · 05.11.2008, 17:28

Hallo ich bins nochmal,

hatte bei AntiVir die Rootkit suche schon durchgeführt gehabt. Hier ist das was dieser Port Explorer ausgespuckt hat. Hatte nur firefox laufen... naja ich hoffe du kannst mich aufklären, was das hier bedeutet

daaanke

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
| NAME | CREATION | PID | PROTOCOL | LOCAL ADDRESS | LOCAL PORT | REMOTE ADDRESS | REMOTE PORT | PORT STATUS | SENT | RECVD |
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
| SYSTEM | --- | 0 | TCP | 127.0.0.1 | 1738 | 127.0.0.1 | 1737 | TIME_WAIT | --- | --- |
| SYSTEM | --- | 0 | TCP | 85.182.37.19 | 135 | 85.182.1.73 | 31871 | TIME_WAIT | --- | --- |
| SYSTEM | --- | 0 | TCP | 127.0.0.1 | 80 | 127.0.0.1 | 1850 | TIME_WAIT | --- | --- |
| SYSTEM | --- | 4 | TCP | 0.0.0.0 | 445 | 0.0.0.0 | 0 | Horchend | --- | --- |
| SYSTEM | --- | 4 | UDP | 0.0.0.0 | 445 | *.*.*.* | * | Horchend | --- | --- |
| applemobiledeviceservice.exe | 17:04 05/11/2008 | 200 | TCP | 127.0.0.1 | 27015 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| inetinfo.exe | 17:04 05/11/2008 | 420 | TCP | 0.0.0.0 | 1025 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| inetinfo.exe | 17:04 05/11/2008 | 420 | TCP | 0.0.0.0 | 80 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| inetinfo.exe | 17:04 05/11/2008 | 420 | UDP | 0.0.0.0 | 3456 | 127.0.0.1 | 3456 | Horchend | 0.00KB/s (0.01KB Total) | 0.00KB/s (0.01KB Total) |
| inetinfo.exe | 17:04 05/11/2008 | 420 | TCP | 0.0.0.0 | 443 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| inetinfo.exe | 17:04 05/11/2008 | 420 | TCP | 0.0.0.0 | 25 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| svchost.exe | 17:03 05/11/2008 | 792 | TCP | 0.0.0.0 | 135 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| svchost.exe | 17:04 05/11/2008 | 832 | UDP | 85.182.37.19 | 123 | *.*.*.* | * | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| svchost.exe | 17:04 05/11/2008 | 832 | UDP | 127.0.0.1 | 123 | *.*.*.* | * | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| snmp.exe | 17:04 05/11/2008 | 884 | UDP | 0.0.0.0 | 161 | *.*.*.* | * | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| svchost.exe | 17:04 05/11/2008 | 1212 | UDP | 127.0.0.1 | 1900 | *.*.*.* | * | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| alg.exe | 17:04 05/11/2008 | 2312 | TCP | 127.0.0.1 | 1030 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | 17:22 05/11/2008 | 2776 | TCP | 127.0.0.1 | 1812 | 127.0.0.1 | 1811 | Eingerichtet | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.29KB Total) |
| firefox.exe | 17:22 05/11/2008 | 2776 | TCP | 127.0.0.1 | 1811 | 127.0.0.1 | 1812 | Eingerichtet | 0.00KB/s (0.29KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | 17:22 05/11/2008 | 2776 | TCP | 127.0.0.1 | 1814 | 127.0.0.1 | 1813 | Eingerichtet | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | 17:22 05/11/2008 | 2776 | TCP | 127.0.0.1 | 1813 | 127.0.0.1 | 1814 | Eingerichtet | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1874 | 217.72.200.153 | 80 | CLOSE_WAIT | 0.00KB/s (0.41KB Total) | 0.00KB/s (1.91KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1876 | 217.72.204.100 | 80 | CLOSE_WAIT | 0.00KB/s (0.45KB Total) | 0.00KB/s (0.65KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1883 | 217.72.200.153 | 80 | CLOSE_WAIT | 0.00KB/s (0.45KB Total) | 0.00KB/s (30.15KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1881 | 217.72.200.153 | 80 | CLOSE_WAIT | 0.00KB/s (0.43KB Total) | 0.00KB/s (0.44KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1885 | 217.72.200.153 | 80 | CLOSE_WAIT | 0.00KB/s (0.42KB Total) | 0.00KB/s (3.36KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1888 | 217.72.200.153 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1890 | 217.72.200.153 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | --- | 2776 | TCP | 127.0.0.1 | 1891 | 127.0.0.1 | 1516 | Verbinden | --- | --- |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1890 | 217.72.200.153 | 80 | CLOSE_WAIT | 0.00KB/s (0.43KB Total) | 1.28KB/s (1.24KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1888 | 217.72.200.153 | 80 | CLOSE_WAIT | 0.00KB/s (0.43KB Total) | 3.07KB/s (2.98KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1892 | 217.72.204.230 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | --- | 2776 | TCP | 127.0.0.1 | 1893 | 127.0.0.1 | 1516 | Verbinden | --- | --- |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1892 | 217.72.204.230 | 80 | CLOSE_WAIT | 0.00KB/s (0.42KB Total) | 0.00KB/s (3.25KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1895 | 217.72.204.116 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | --- | 2776 | TCP | 127.0.0.1 | 1897 | 127.0.0.1 | 1516 | Verbinden | --- | --- |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1898 | 217.72.200.6 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1895 | 217.72.204.116 | 80 | CLOSE_WAIT | 0.00KB/s (0.54KB Total) | 0.00KB/s (4.77KB Total) |
| firefox.exe | --- | 2776 | TCP | 127.0.0.1 | 1900 | 127.0.0.1 | 1516 | Verbinden | --- | --- |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1898 | 217.72.200.6 | 80 | CLOSE_WAIT | 0.00KB/s (0.48KB Total) | 0.00KB/s (0.46KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1901 | 217.72.200.153 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | --- | 2776 | TCP | 127.0.0.1 | 1902 | 127.0.0.1 | 1516 | Verbinden | --- | --- |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1903 | 217.72.200.153 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | --- | 2776 | TCP | 127.0.0.1 | 1904 | 127.0.0.1 | 1516 | Verbinden | --- | --- |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1903 | 217.72.200.153 | 80 | CLOSE_WAIT | 0.00KB/s (0.42KB Total) | 1.37KB/s (1.41KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1901 | 217.72.200.153 | 80 | CLOSE_WAIT | 0.00KB/s (0.43KB Total) | 0.00KB/s (1.24KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1905 | 217.72.200.153 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1907 | 217.72.200.153 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1905 | 217.72.200.153 | 80 | CLOSE_WAIT | 0.00KB/s (0.42KB Total) | 1.31KB/s (1.35KB Total) |
| firefox.exe | --- | 2776 | TCP | 127.0.0.1 | 1908 | 127.0.0.1 | 1516 | Verbinden | --- | --- |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1909 | 217.72.200.153 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | --- | 2776 | TCP | 127.0.0.1 | 1910 | 127.0.0.1 | 1516 | Verbinden | --- | --- |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1907 | 217.72.200.153 | 80 | CLOSE_WAIT | 0.00KB/s (0.42KB Total) | 0.00KB/s (1.44KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1909 | 217.72.200.153 | 80 | CLOSE_WAIT | 0.00KB/s (0.42KB Total) | 0.00KB/s (1.45KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | UDP | 0.0.0.0 | 1912 |

.191.92.87 | 53 | Horchend | 0.03KB/s (0.04KB Total) | 0.09KB/s (0.09KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | UDP | 0.0.0.0 | 1913 |

.191.92.87 | 53 | Horchend | 0.03KB/s (0.03KB Total) | 0.05KB/s (0.05KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1911 | 217.72.200.153 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | --- | 2776 | TCP | 127.0.0.1 | 1914 | 127.0.0.1 | 1516 | Verbinden | --- | --- |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1915 | 217.72.200.153 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | --- | 2776 | TCP | 127.0.0.1 | 1916 | 127.0.0.1 | 1516 | Verbinden | --- | --- |
| firefox.exe | --- | 2776 | TCP | 85.182.37.19 | 1915 | 217.72.200.153 | 80 | Eingerichtet | --- | --- |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 85.182.37.19 | 1911 | 217.72.200.153 | 80 | Eingerichtet | 0.43KB/s (0.43KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | 17:23 05/11/2008 | 2776 | TCP | 0.0.0.0 | 1917 | 217.72.200.153 | 80 | Verbinden | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| firefox.exe | --- | 2776 | TCP | 85.182.37.19 | 1917 | 217.72.200.153 | 80 | Eingerichtet | --- | --- |
| firefox.exe | --- | 2776 | TCP | 127.0.0.1 | 1918 | 127.0.0.1 | 1516 | Verbinden | --- | --- |
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

IchGoogleAlles · 05.11.2008, 17:46

Der könnte es sein: inetinfo.exe
Kill den Prozess testweise über den Taskmanager.

Ist bekannt dafür, das er Internetgeschwindigkeit ausbremst, s. http://www.anti-spy.info/datei/inetinfo.exe.html

Stell nochmal ein aktuelles Log vom "normalen" Modus rein.

ciao, andreas

RaDjA · 05.11.2008, 19:01

Danke nochmal

also nachdem ich den Prozess beendet habe, lief das Internet etwas schneller. Was meintest du jetzt mit "normalen" Modus? Also hier nochmal ein log nachdem ich mich mit dem Internet verbunden habe.

P.S.wie kann ich dieses inetinfo auf dauer löschen?

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
| NAME | CREATION | PID | PROTOCOL | LOCAL ADDRESS | LOCAL PORT | REMOTE ADDRESS | REMOTE PORT | PORT STATUS | SENT | RECVD |
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
| SYSTEM | --- | 0 | TCP | 85.182.45.138 | 1044 | 65.55.12.249 | 80 | TIME_WAIT | --- | --- |
| SYSTEM | --- | 4 | TCP | 0.0.0.0 | 445 | 0.0.0.0 | 0 | Horchend | --- | --- |
| SYSTEM | --- | 4 | UDP | 0.0.0.0 | 445 | *.*.*.* | * | Horchend | --- | --- |
| svchost.exe | --- | 684 | TCP | 85.182.45.138 | 1046 | 65.55.12.249 | 80 | TIME_WAIT | --- | --- |
| svchost.exe | 18:54 05/11/2008 | 788 | TCP | 0.0.0.0 | 135 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| svchost.exe | 18:54 05/11/2008 | 824 | UDP | 127.0.0.1 | 123 | *.*.*.* | * | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| svchost.exe | 18:55 05/11/2008 | 824 | UDP | 85.182.45.138 | 123 | *.*.*.* | * | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| alg.exe | 18:54 05/11/2008 | 852 | TCP | 127.0.0.1 | 1026 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| svchost.exe | 18:55 05/11/2008 | 1076 | UDP | 0.0.0.0 | 1042 |

.191.92.87 | 53 | Horchend | 0.00KB/s (0.59KB Total) | 0.00KB/s (1.45KB Total) |
| svchost.exe | 18:55 05/11/2008 | 1076 | UDP | 0.0.0.0 | 1041 |

.191.92.87 | 53 | Horchend | 0.00KB/s (0.04KB Total) | 0.00KB/s (0.11KB Total) |
| svchost.exe | 18:55 05/11/2008 | 1076 | UDP | 0.0.0.0 | 1043 |

.191.92.87 | 53 | Horchend | 0.00KB/s (0.50KB Total) | 0.00KB/s (1.45KB Total) |
| svchost.exe | 18:54 05/11/2008 | 1172 | UDP | 127.0.0.1 | 1900 | *.*.*.* | * | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| applemobiledeviceservice.exe | 18:54 05/11/2008 | 1640 | TCP | 127.0.0.1 | 27015 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| inetinfo.exe | 18:54 05/11/2008 | 1752 | TCP | 0.0.0.0 | 1025 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| inetinfo.exe | 18:54 05/11/2008 | 1752 | TCP | 0.0.0.0 | 25 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| inetinfo.exe | 18:54 05/11/2008 | 1752 | UDP | 0.0.0.0 | 3456 | 127.0.0.1 | 3456 | Horchend | 0.00KB/s (0.01KB Total) | 0.00KB/s (0.01KB Total) |
| inetinfo.exe | 18:54 05/11/2008 | 1752 | TCP | 0.0.0.0 | 80 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| inetinfo.exe | 18:54 05/11/2008 | 1752 | TCP | 0.0.0.0 | 443 | 0.0.0.0 | 0 | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
| snmp.exe | 18:54 05/11/2008 | 1896 | UDP | 0.0.0.0 | 161 | *.*.*.* | * | Horchend | 0.00KB/s (0.00KB Total) | 0.00KB/s (0.00KB Total) |
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

IchGoogleAlles · 05.11.2008, 19:08

Sry, ich sprach davon: xp antispyware 2009

Schon im abgesicherten Modus waren da unnötige Einträge. Deshalb noch einmal ein Hijackthislog vom "normalen" Modus.

ciao, andreas

RaDjA · 05.11.2008, 19:14

so

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:12:58, on 05.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB VE.EXE /FU "C:\WINDOWS\TEMP\E_S117.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/Driver...aSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE2282EC-D5DC-425A-BD03-22F6F826F3AB}: NameServer =

.191.92.87 62.109.123.6
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 5756 bytes

IchGoogleAlles · 05.11.2008, 19:29

Immer noch SP2

Fixen:

Zitat:

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

Bzgl. inetinfo entweder über Systemsteuerung => Software => Windowskomponenten entfernen (snmp kann auch weg) oder den Dienst deaktivieren. Schau mal dort vorbei:
http://www.dingens.org
http://www.windows-tweaks.info/html/dienste.html
http://www.netzwelt.de/news/72399-wi...e-dienste.html

ciao, andreas

Bonc · 05.11.2008, 22:38

Zitat:

Zitat von IchGoogleAlles

Welchen benutzt du?
Nein, Hijackthis nicht im abgesicherten Modus starten.
Wenn du den abgesicherten Modus so erzwingst, dann kann es passieren, das du nicht mehr heraus kommst. Benutzt du eine USB-Tastatur? Falls ja, nimm eine PS/2.
Schlecht.
Wieso sollten die weg sein?
Gut war das sicher nicht.

ciao, andreas

so jetzt hab ich alles neu aufgesetzt mußte c komplett formatieren.jedenfalls danke

jake17 · 07.11.2008, 00:37

Hallo,
Koennte vielleicht jemand mal ein Blick hier drauf werfen. Es scheint alles wieder in Ordnung zu sein, bin aber kein Experte. Vielen Dank

-------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2

06.11.2008 18:27:04
mbam-log-2008-11-06 (18-27-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 82906
Laufzeit: 1 hour(s), 28 minute(s), 59 second(s)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 25
Infizierte Registrierungswerte: 9
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 42

Infizierte Speicherprozesse:
C:\Programme\GetPack\GetPack23.exe (Trojan.Agent) -> Unloaded process successfully.
C:\Programme\GetModule\GetModule27.exe (Trojan.Agent) -> Unloaded process successfully.
C:\Programme\XP_Antispyware\XP_Antispyware.exe (Rogue.XPAntiSpyware) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Programme\XP_Antispyware\AVEngn.dll (Rogue.XPAntiSpyware) -> Delete on reboot.
C:\Programme\XP_Antispyware\htmlayout.dll (Rogue.XPAntiSpyware) -> Delete on reboot.
C:\Programme\XP_Antispyware\pthreadVC2.dll (Rogue.XPAntiSpyware) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\browsingadvisor.pornpro_bho (Adware.PlayMP3Z-biz) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\browsingadvisor.pornpro_bho.1 (Adware.PlayMP3Z-biz) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1037b06c-84b7-4240-8d80-485810a0497d} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{54b287f9-fd90-4457-b65e-cb91560c021d} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6e4c7afc-9915-4036-b7f9-8b3f1710788f} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f1e96edc-e0c8-be98-1f15-c29dbed83b53} (Adware.PlayMP3Z-biz) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{566dede9-9ed8-45da-9be6-9b2eeab17f49} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\icheck (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\XP_Antispyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\GetModule (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\GetPack (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\brastk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\getpack23 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\getmodule27 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\xp antispyware 2009 (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\antispywarexp 2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\{433c7007-

9-1c1b-e4c9-7f4516050f96} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\GetPack (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\iCheck (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\GetModule (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\XP_Antispyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temp\44.exe (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temp\tem41.tmp.exe (Adware.Mirar) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temp\tem8C.tmp.exe (Adware.Mirar) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temp\tem8E.tmp.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F4C0F6F5-840F-4919-A1A5-28733177E06D}\RP260\A0063944.exe (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
C:\WINDOWS\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\GetPack\dictame.gz (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\GetPack\GetPack23.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\iCheck\Uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\GetModule\GetModule26.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\GetModule\GetModule27.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Uninstall.exe (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\XP_Antispyware\AVEngn.dll (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\Programme\XP_Antispyware\htmlayout.dll (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\Programme\XP_Antispyware\pthreadVC2.dll (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\Programme\XP_Antispyware\Uninstall.exe (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\Programme\XP_Antispyware\XP_AntiSpyware.exe (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\Microsoft\Inte rnet Explorer\Quick Launch\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sbyqhhzrorkjcbaax.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\services.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\U.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10255.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10803.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Horst\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSehys.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSirxy.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSktpa.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSlubs.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSncun.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSqqck.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSwghd.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSyavu.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSmxoe.sys (Rootkit.Agent) -> Delete on reboot.

FreewareGuide · 07.11.2008, 06:42

Zitat:

Zitat von jake17

Hallo,
Koennte vielleicht jemand mal ein Blick hier drauf werfen. Es scheint alles wieder in Ordnung zu sein, bin aber kein Experte. Vielen Dank

Ähm, könntest Du statt dessen ein HijackThis-Log posten? Nur dass ist hier korrekt auswertbar.

Außerdem wäre ja interessant, was von den ganzen "Delete on reboot"-Einträgen übrig ist nach diesem Neustart. Es bringt wenig zu mutmaßen, ob diese Dateien nach dem Neustart tatsächlich entfernt sein werden, besser ist es neu zu starten und zu prüfen, ob sie wirklich erfolgreich gelöscht wurden oder aber erneut gefunden werden. Nach einer Viren-Reinigung ist immer erst nach Neustart einzuschätzen, wie erfolgreich das war (oder ob der Schädling sich noch woanders versteckt und automatisch wiederhergestellt hat).

Aber schon erschreckend lang, die Liste.

Grüße,
Thorsten

IchGoogleAlles · 07.11.2008, 16:59

Eigentlich gilt es für alle, aber ganz besonders für die Betroffenen:
http://cidres-security.de/vortrag.html

Seine Meinung zu PFW gefällt mir:
http://cidres-security.de/firewall.html

Hier gibt es den Vortrag als Audio und Video:
http://archiv.ulm.ccc.de/chaosseminar/200501-winsec/

ciao, andreas

jake17 · 08.11.2008, 00:01

Zitat:

Zitat von FreewareGuide

Ähm, könntest Du statt dessen ein HijackThis-Log posten? Nur dass ist hier korrekt auswertbar.

Gesagt, getan:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:55:39, on 07.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Atievxx.exe
C:\WINDOWS\vVX3000.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [MDNS] C:\WINDOWS\system32\service.exe
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programme\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/36.24/uploader2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://karlzdomain.spaces.msn.com//P...d/MsnPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/phot...che=1223777837
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {E5168F0C-8591-11D4-BCDF-006008B7FEA4} (PWLNINST Control) - http://platoweb.bemidji.k12.mn.us/Pa...b/pwlninst.cab
O20 - AppInit_DLLs: karna.dat
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: Windows Media Player-Netzwerkfreigabedienst (WMPNetworkSvc) - Unknown owner - C:\Programme\Windows Media Player\WMPNetwk.exe (file missing)

--
End of file - 5175 bytes

Vielen Dank für die Hilfe!

IchGoogleAlles · 08.11.2008, 10:58

Fixen:

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll (file missing)
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [MDNS] C:\WINDOWS\system32\service.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programme\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O20 - AppInit_DLLs: karna.dat

Google-Toolbar würde ich deinstallieren. Es kann auch nicht schaden, die anderen Tipps, die oben gegeben wurden, wie z.B. Servicepack, Browser und Onlinevirenscanner, zu befolgen. Nach Fixen und anschliessendem Neustart nochmal mbam laufenlassen.

ciao, andreas

m-te · 17.02.2009, 14:11

Hallo zusammen,

ich habe mir anscheinend auch diesen hartnäckigen Virus eingefangen und bin schwer am verzweifeln.
Das Internet ist anscheinend auch angegriffen, da mir die Seiten immer wieder von MS AntiSpyware unterbrochen werden und diesen ständig neu aktualisieren muss. Zeitweise stürzt das Internet dann komplett ab.

Bitte bitte bitte kann mir jemand weiterhelfen???
Anbei der Report aus dem Avira Programm:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 17. Februar 2009 12:51

Es wird nach 1058638 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: LB0708

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 13:50:08
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 15:19:00
ANTIVIR2.VDF : 7.1.0.124 376832 Bytes 23.11.2008 15:32:18
ANTIVIR3.VDF : 7.1.0.157 195072 Bytes 28.11.2008 21:49:01
Engineversion : 8.2.0.36
AEVDF.DLL : 8.1.0.6 102772 Bytes 21.10.2008 14:18:42
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 13.11.2008 15:19:05
AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 18:47:47
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 19:00:24
AEPACK.DLL : 8.1.3.4 393591 Bytes 13.11.2008 15:19:03
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 08.11.2008 18:47:47
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 08.11.2008 18:47:46
AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 17:05:05
AEGEN.DLL : 8.1.1.6 323955 Bytes 28.11.2008 21:49:08
AEEMU.DLL : 8.1.0.9 393588 Bytes 21.10.2008 14:18:36
AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 21:49:06
AEBB.DLL : 8.1.0.3 53618 Bytes 21.10.2008 14:18:34
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 8.0.0.2 98344 Bytes 08.08.2008 11:30:46
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 17. Februar 2009 12:51

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiadap.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msas2009.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sysservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCMWLTRY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '25' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\twex.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Dienstag, 17. Februar 2009 13:32
Benötigte Zeit: 40:48 min

Der Suchlauf wurde vollständig durchgeführt.

4202 Verzeichnisse wurden überprüft
208105 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
208105 Dateien ohne Befall
989 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Ich wäre euch für eure Hilfe wirklich unglaublich dankbar!!!!!

Danke danke danke schon einmal vorab.

LG Martina

FreewareGuide · 17.02.2009, 14:55

Entschuldige, aber einen Deiner zwei geposteten Beiträge habe ich grade wieder gelöscht. Doppelt posten hilft niemandem, auch wenn Deine Not noch so groß sein mag.

Außerdem wäre uns mit einem HijackThis-Log weitaus mehr geholfen...

Grüße,
Thorsten

IchGoogleAlles · 17.02.2009, 17:22

Hallo Martina,

Zitat:

Bitte bitte bitte… kann mir jemand weiterhelfen???

Leider nein.

Das hier:

Zitat:

C:\WINDOWS\system32\twex.exe

ist ein Todesurteil. Da hilft nur: Anleitung: Neuaufsetzen des Systems + Absicherung - Trojaner-Board

Ich habe hier jemand versucht die Hintergründe zu erläutern. Bin nach Ansicht eines Mods aber gescheitert: Virus im MSN

Falls du mir nicht glaubst, wende dich an: HijackThis.de Support Board

Dort wirst du aber auch keine andere Information erhalten.

ciao, andreas

FreewareGuide · 17.02.2009, 17:32

Zitat:

Zitat von IchGoogleAlles

Ich habe hier jemand versucht die Hintergründe zu erläutern. Bin nach Ansicht eines Mods aber gescheitert: Virus im MSN

Hauptsächlich erst einmal nach Ansicht des Hilfesuchenden:

Zitat:

Zitat von Diamant68

Deine Beiträge klingen sehr mysteriös...und zweideutig...