Vollständige Version anzeigen : Zu viele unnütze Prozesse bereinigen


d1n
30.03.2010, 21:16

Moin

ich habe gerade im Taskmanager bemerkt, dass ich ca 10 Tasks die "Baby" heißen habe_._-die Prozesse dazu heißen immer unterschiedlich (z_b rf00093-exe u-sw_)_..

Ist das ein Virus? Ja oder? Wie bekomme ich den jetzt weg?:D
Wenn ich die Tasks bzw Prozesse schließe, kommen sie nach ner Zeit wieder_. O_o
Lasse gerade AntiVir durchlaufen, bis jetzt noch keinen Fund!


Hier einmal der Hijackthis Logfile (gerade nach dem Systemstart durchgeführt!):

Logfile of Trend Micro HijackThis v2_0_2
Scan saved at 13:03:57, on 02_04_2010
Platform: Windows XP SP3 (WinNT 5_01_2600)
MSIE: Internet Explorer v8_00 (8_00_6001_18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss-exe
C:\WINDOWS\system32\winlogon-exe
C:\WINDOWS\system32\services-exe
C:\WINDOWS\system32\lsass-exe
C:\WINDOWS\system32\Ati2evxx-exe
C:\WINDOWS\system32\svchost-exe
C:\WINDOWS\System32\svchost-exe
C:\WINDOWS\system32\Ati2evxx-exe
C:\WINDOWS\system32\spoolsv-exe
C:\Programme\Avira\AntiVir Desktop\sched-exe
C:\WINDOWS\Explorer-exe
C:\WINDOWS\SOUNDMAN-EXE
C:\WINDOWS\ehome\ehtray-exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch-exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor-exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp-exe
C:\Programme\Microsoft Office 2007\Office12\GrooveMonitor-exe
C:\Programme\ATI Technologies\ATI-ACE\Core-Static\MOM-exe
C:\Programme\Avira\AntiVir Desktop\avgnt-exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2-exe
C:\Programme\Avira\AntiVir Desktop\avguard-exe
C:\Programme\Java\jre6\bin\jusched-exe
C:\Programme\Logitech\GamePanel Software\LgDevAgt-exe
C:\Programme\Adobe\Reader 9_0\Reader\Reader_sl-exe
C:\Programme\ATI Technologies\ATI-ACE\Core-Static\ccc-exe
C:\Programme\iTunes\iTunesHelper-exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
C:\Programme\Application Updater\ApplicationUpdater-exe
C:\Programme\Messenger\msmsgs-exe
C:\Programme\DNA\btdna-exe
C:\WINDOWS\system32\ctfmon-exe
C:\WINDOWS\r2of0a23409e-exe
C:\WINDOWS\r2of0a212234209e-exe
C:\WINDOWS\r2of0a212234209e-exe
C:\Programme\Bonjour\mDNSResponder-exe
C:\WINDOWS\eHome\ehRecvr-exe
C:\WINDOWS\eHome\ehSched-exe
C:\Programme\Avira\AntiVir Desktop\avshadow-exe
C:\Programme\Windows Media Player\WMPNSCFG-exe
C:\Programme\Pando Networks\Media Booster\PMB-exe
C:\WINDOWS\System32\svchost-exe
C:\Programme\Java\jre6\bin\jqs-exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc-exe
C:\WINDOWS\system32\PnkBstrA-exe
C:\WINDOWS\system32\PnkBstrB-exe
C:\Programme\CyberLink\Shared Files\RichVideo-exe
C:\WINDOWS\system32\svchost-exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets-exe
C:\WINDOWS\system32\wuauclt-exe
C:\Programme\iPod\bin\iPodService-exe
C:\WINDOWS\system32\dllhost-exe
C:\WINDOWS\system32\wbem\wmiapsrv-exe
C:\Programme\Mozilla Firefox\firefox-exe
C:\WINDOWS\eHome\ehmsas-exe
C:\Programme\HijackThis\HijackThis-exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = _google-icq-com/search/search_frame-php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ-com Search (_google-icq-com)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google (__-google-de/ig)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer! (_go-microsoft-com/fwlink/?LinkId=69157)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing (_go-microsoft-com/fwlink/?LinkId=54896)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing (_go-microsoft-com/fwlink/?LinkId=54896)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer! (_go-microsoft-com/fwlink/?LinkId=69157)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings-dll
F2 - REG:system-ini: Shell=Explorer-exe C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass-exe
F2 - REG:system-ini: UserInit=C:\WINDOWS\system32\userinit-exe,C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost-exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim-dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin-dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MI69DF~1\Office12\GRA8E1~1-DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv-dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings-dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin-dll
O4 - HKLM\_.\Run: [SoundMan] SOUNDMAN-EXE
O4 - HKLM\_.\Run: [ehTray] C:\WINDOWS\ehome\ehtray-exe
O4 - HKLM\_.\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck-exe
O4 - HKLM\_.\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch-exe" -start
O4 - HKLM\_.\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm-exe -startup
O4 - HKLM\_.\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor-exe"
O4 - HKLM\_.\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp-exe"
O4 - HKLM\_.\Run: [EventBot] D:\Downloads und Downloadprogramme\R-R Downloads\Neuer Ordner\Neuer Ordner (7)\GW!!11elf\BOTS\Event\data\popup-exe
O4 - HKLM\_.\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4_0\apdproxy-exe"
O4 - HKLM\_.\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN-EXE /logon
O4 - HKLM\_.\Run: [GameFace Messenger] C:\Programme\GameFace Messenger\GameFace-exe
O4 - HKLM\_.\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI-ACE\Core-Static\CLIStart-exe" MSRun
O4 - HKLM\_.\Run: [GrooveMonitor] "C:\Programme\Microsoft Office 2007\Office12\GrooveMonitor-exe"
O4 - HKLM\_.\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt-exe" /min
O4 - HKLM\_.\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched-exe"
O4 - HKLM\_.\Run: [Launch LgDeviceAgent] "C:\Programme\Logitech\GamePanel Software\LgDevAgt-exe"
O4 - HKLM\_.\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9_0\Reader\Reader_sl-exe"
O4 - HKLM\_.\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1_0\AdobeARM-exe"
O4 - HKLM\_.\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings-exe
O4 - HKLM\_.\Run: [MSWUpdate] "C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass-exe"
O4 - HKLM\_.\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask-exe" -atboottime
O4 - HKLM\_.\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper-exe"
O4 - HKLM\_.\Run: [dll] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost-exe
O4 - HKLM\_.\Run: [rof0a23409e] C:\WINDOWS\rof0a23409e-exe
O4 - HKLM\_.\Run: [r2of0a23409e] C:\WINDOWS\r2of0a23409e-exe
O4 - HKLM\_.\Run: [r2of0a21223409e] C:\WINDOWS\r2of0a21223409e-exe
O4 - HKLM\_.\Run: [r2of0a212234209e] C:\WINDOWS\r2of0a212234209e-exe
O4 - HKLM\_.\Run: [rf009rqe] C:\WINDOWS\rf009rqe-exe
O4 - HKLM\_.\Run: [rf0092rqe] C:\WINDOWS\rf0092rqe-exe
O4 - HKLM\_.\Run: [rf0092re] C:\WINDOWS\rf0092re-exe
O4 - HKCU\_.\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs-exe" /background
O4 - HKCU\_.\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent-exe"
O4 - HKCU\_.\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna-exe"
O4 - HKCU\_.\Run: [ctfmon-exe] C:\WINDOWS\system32\ctfmon-exe
O4 - HKCU\_.\Run: [AlcoholAutomount] "C:\Programme\Alcohol 120\axcmd-exe" /automount
O4 - HKCU\_.\Run: [Gammacontrol] "D:\Downloads und Downloadprogramme\R-R Downloads\Neuer Ordner (7)\CounterStrike- Gammacontrol\Gammacontrol-exe"
O4 - HKCU\_.\Run: [MSWUpdate] "C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass-exe"
O4 - HKCU\_.\Run: [SVCHost-exe] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost-exe
O4 - HKCU\_.\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG-exe
O4 - HKCU\_.\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB-exe
O4 - HKCU\_.\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1-EXE -Update -1100465 -"Mozilla/4_0 (compatible; MSIE 8_0; Windows NT 5_1; Trident/4_0; Mozilla/4_0 (compatible; MSIE 6_0; Windows NT 5_1; SV1) ; -NET CLR 1_0_3705; -NET CLR 1_1_4322; Media Center PC 4_0; -NET CLR 2_0_50727; InfoPath_2; -NET CLR 3_0_04506_30; -NET CLR 3_0_04506_648; -NET CLR 3_5_21022; -NET CLR 3_0_4506_2152; -NET CLR 3_5_30729)" -"__-arcadestreet-com/play-table-tennis-htm"
O4 - HKUS\S-1-5-19\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'SYSTEM')
O4 - HKUS\-DEFAULT\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MIF269~1\OFFICE11\EXCEL-EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI69DF~1\Office12\EXCEL-EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE-dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE-dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7_0\ICQ-exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7_0\ICQ-exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIF269~1\OFFICE11\REFIEBAR-DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag-exe
O9 - Extra 'Tools' menuitem: _xpsp3res-dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag-exe
O9 - Extra button: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs-exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs-exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - __-acclaim-com/cabs/acclaim_v5-cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - _cdn1-acclaimdownloads-com/solidstateion-cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - __-systemrequirementslab-com/sysreqlab-cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - _icq-oberon-media-com/Gameshell/GameHost/1_0/OberonGameHost-cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - _fpdownload2-macromedia-com/get/shockwave/cabs/flash/swflash-cab
O17 - HKLM\System\CCS\Services\Tcpip\_.\{4C92A378-D9A7-4F28-8F7F-E3A8E74EAD78}: NameServer = 192_168_178_1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI69DF~1\Office12\GR99D3~1-DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1-DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2-exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc-exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched-exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard-exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater-exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx-exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag-exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder-exe
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Games\Dragon Age\bin_ship\DAUpdaterSvc-Service-exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService-exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT-exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC-EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService-exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs-exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc-exe
O23 - Service: npkcmsvc - Unknown owner - D:\Games\MapleStoryGlobal\npkcmsvc-exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA-exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB-exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo-exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets-exe

--
End of file - 14685 bytes





Bitte um Hilfe!

BW ist klar!

Gando
30.03.2010, 21:30

hmm ich weiß nicht ob das ein virus ist aber vielleicht könnte dir malwarebytes helfen. mit google müsstest du das finden. also wenn es malware ist, aber ich bin auch kein wirklicher experte also bitte nicht zu flamen wenn ich was falsches sage.

Michi
30.03.2010, 21:43

Ähnliche Themen: Zu viele unnütze Prozesse bereinigen Moin ich habe gerade im Taskmanager bemerkt, dass ich ca 10 Tasks die "Baby" heißen habe_._-die Prozesse dazu heißen immer unterschiedl[...]
[Windows 7] Perfect Keylogger - BlazingTools unter x64 viele Prozesse + Reboot hi habe den blazing tools perfect keylogger hatte den damals aufm pc schon gehabt und deinstalliert so wollte den dann nochmal wieder in[...]
Zu viele unnütze Prozesse bereinigen
hijackthis log posten.

Freezer2k
30.03.2010, 23:20

Hallo ChillOutMan,
dein Post gehört eigentlich hier rein: -->Hier<--

MfG
Freezer

erichbitch
31.03.2010, 10:26

AntiVir sagt GARNICHTS darüber aus, OB du einen Trojaner / Virus hast, AntiVir sagt dir nur, ob du einen BEKANNTEN Trojaner / Virus hast.

-HiJackThis durch laufen lassen und log auswerten,
-SpyBot durchlaufen lassen
-netstat -a durchschauen
-Systemwiederherstellung z_B. 1 Monat zurück - Wiederholen bis "Baby" weg ist.

Das wären so meine Ideen.
Könnte gut sein, dass es ein Trojaner, Virus oder auch ein BotNet ist.

El_Garnelo
31.03.2010, 17:07

bevor ich die sys-wiederherstellung nutzen würde -> Combofix drüber laufen lassen ;)

grafix
31.03.2010, 17:10

AntiVir sagt GARNICHTS darüber aus, OB du einen Trojaner / Virus hast, AntiVir sagt dir nur, ob du einen BEKANNTEN Trojaner / Virus hast.

-HiJackThis durch laufen lassen und log auswerten,
-SpyBot durchlaufen lassen
-netstat -a durchschauen
-Systemwiederherstellung z_B. 1 Monat zurück - Wiederholen bis "Baby" weg ist.

Das wären so meine Ideen.
Könnte gut sein, dass es ein Trojaner, Virus oder auch ein BotNet ist_

Gerade bei einem Botnet liegt es doch Nahe, dass der Schädling verbreitet und bekannt ist und somit auch von einem beliebigen AV entdeckt wird.

_ChillOutMan
Im Grunde genommen hast du doch schon genug Anhaltspunkte, dass es sich um Malware handelt.
Starte dein Windows mal im Abgesicherten Modus oder nimm eine BootCD.
Anschließend schau mal nach, was sich alles so mit Windows startet und lösche die Dateien.
Ein Rootkit oder sowas kann man wohl ausschließen, sonst wären die Prozesse auch versteckt.
Wenn du deine Festplatten scannen lässt, lass keine Partition aus. Sonst hast du den Virus evtl in ein paar Wochen wieder wenn du irgendwas davon installiert.

Alex²
31.03.2010, 19:32

AntiVir sagt GARNICHTS darüber aus, OB du einen Trojaner / Virus hast, AntiVir sagt dir nur, ob du einen BEKANNTEN Trojaner / Virus hast.

-HiJackThis durch laufen lassen und log auswerten,
-SpyBot durchlaufen lassen
-netstat -a durchschauen
-Systemwiederherstellung z_B. 1 Monat zurück - Wiederholen bis "Baby" weg ist.

Das wären so meine Ideen.
Könnte gut sein, dass es ein Trojaner, Virus oder auch ein BotNet ist_


Das stimmt so auch nicht zu 100%. Es gibt da noch etwas, dass sich Heuristik nennt.
Und ich glaube kaum, dass er ein BotNet auf seinem Pc hat, sondern wenn überhaupt einen Client dafür. Davon abgesehen ist SpyBot der letzte scheiß.

Ich würde es vor diesen ganzen Sachen einfach mal mit google versuchen:

baby-exe | ThreatExpert statistics (__-threatexpert-com/files/Baby-exe-html)
W32-NewApt - baby-exe (__-tasklist-org/attachlist/attach_baby_exe-2546_124-html)

Natürlich müssen diese Seiten nicht auf dein Problem zutreffen, deswegen kannst du die Datei am besten mal bei virustotal-com hochladen und dann nach dem Virus namen googlen.

d1n
02.04.2010, 13:07

soo der hijackthis logfile ist editiert!

Michi
02.04.2010, 13:19

hast du die sachen wirklich alle gefixt und neugestartet, nochmal checken lassen?

C:\Programme\Application Updater\ApplicationUpdater-exe

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings-dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings-dll

O4 - HKLM\_.\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings-exe

O4 - HKLM\_.\Run: [dll] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost-exe

O4 - HKLM\_.\Run: [rf009rqe] C:\WINDOWS\rf009rqe-exe

O4 - HKLM\_.\Run: [rf0092rqe] C:\WINDOWS\rf0092rqe-exe

O4 - HKLM\_.\Run: [rf0092re] C:\WINDOWS\rf0092re-exe

O4 - HKCU\_.\Run: [SVCHost-exe] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost-exe

O9 - Extra button: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing)

O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater-exe






alt
fixe das:

C:\Programme\Application Updater\ApplicationUpdater-exe was ist das? hast du das installiert? ansonsten fixen


R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings-dll

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings-dll

O4 - HKLM\_.\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings-exe

O4 - HKLM\_.\Run: [dll] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost-exe

O4 - HKLM\_.\Run: [rf009rqe] C:\WINDOWS\rf009rqe-exe

O4 - HKLM\_.\Run: [rf0092rqe] C:\WINDOWS\rf0092rqe-exe

O4 - HKLM\_.\Run: [rf0092re] C:\WINDOWS\rf0092re-exe

O4 - HKCU\_.\Run: [SVCHost-exe] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost-exe

O9 - Extra button: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing) datei fehlt. kannst einfach fixen

O9 - Extra 'Tools' menuitem: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing) datei fehlt. kannst einfach fixen

O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater-exe was ist das? hast du das installiert? ansonsten fixen

danach pc neustarten und nochmal einen log machen_

R0cka
02.04.2010, 15:14

mit HJT bekommste das wohl nicht weg.

versuche es mal mit Malwarebytes und Combofix und poste beide Logs hier als Antwort.

Malewarbytes/Combofix Links

Gruß R0cka

d1n
05.04.2010, 12:50

soo, sry_.-war einige Tage nicht am PC_._-hier ein neuer Logfile!


C:\WINDOWS\System32\smss-exe
C:\WINDOWS\system32\winlogon-exe
C:\WINDOWS\system32\services-exe
C:\WINDOWS\system32\lsass-exe
C:\WINDOWS\system32\Ati2evxx-exe
C:\WINDOWS\system32\svchost-exe
C:\WINDOWS\System32\svchost-exe
C:\WINDOWS\system32\Ati2evxx-exe
C:\WINDOWS\system32\spoolsv-exe
C:\Programme\Avira\AntiVir Desktop\sched-exe
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost-exe
C:\WINDOWS\Explorer-exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2-exe
C:\Programme\Avira\AntiVir Desktop\avguard-exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
C:\Programme\Bonjour\mDNSResponder-exe
C:\WINDOWS\eHome\ehRecvr-exe
C:\WINDOWS\eHome\ehSched-exe
C:\Programme\Avira\AntiVir Desktop\avshadow-exe
C:\WINDOWS\SOUNDMAN-EXE
C:\WINDOWS\ehome\ehtray-exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch-exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor-exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp-exe
C:\WINDOWS\System32\svchost-exe
C:\Programme\Microsoft Office 2007\Office12\GrooveMonitor-exe
C:\Programme\Avira\AntiVir Desktop\avgnt-exe
C:\Programme\ATI Technologies\ATI-ACE\Core-Static\MOM-exe
C:\Programme\Java\jre6\bin\jusched-exe
C:\Programme\Logitech\GamePanel Software\LgDevAgt-exe
C:\Programme\Adobe\Reader 9_0\Reader\Reader_sl-exe
C:\Programme\Java\jre6\bin\jqs-exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1_0\AdobeARM-exe
C:\Programme\iTunes\iTunesHelper-exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc-exe
C:\WINDOWS\system32\PnkBstrA-exe
C:\WINDOWS\system32\PnkBstrB-exe
C:\Programme\CyberLink\Shared Files\RichVideo-exe
C:\WINDOWS\system32\svchost-exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets-exe
C:\Programme\ATI Technologies\ATI-ACE\Core-Static\ccc-exe
C:\Programme\Messenger\msmsgs-exe
C:\Programme\DNA\btdna-exe
C:\WINDOWS\system32\ctfmon-exe
C:\WINDOWS\system32\wuauclt-exe
C:\WINDOWS\system32\dllhost-exe
C:\Programme\iPod\bin\iPodService-exe
C:\WINDOWS\system32\wbem\wmiapsrv-exe
C:\WINDOWS\eHome\ehmsas-exe
C:\Programme\Windows Media Player\WMPNSCFG-exe
C:\Programme\Pando Networks\Media Booster\PMB-exe
C:\Programme\HijackThis\HijackThis-exe
C:\Programme\Avira\AntiVir Desktop\update-exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = _google-icq-com/search/search_frame-php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ-com Search (_google-icq-com)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google (__-google-de/ig)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer! (_go-microsoft-com/fwlink/?LinkId=69157)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing (_go-microsoft-com/fwlink/?LinkId=54896)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing (_go-microsoft-com/fwlink/?LinkId=54896)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer! (_go-microsoft-com/fwlink/?LinkId=69157)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings-dll
F2 - REG:system-ini: Shell=Explorer-exe C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass-exe
F2 - REG:system-ini: UserInit=C:\WINDOWS\system32\userinit-exe,C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost-exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim-dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin-dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MI69DF~1\Office12\GRA8E1~1-DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv-dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings-dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin-dll
O4 - HKLM\_.\Run: [SoundMan] SOUNDMAN-EXE
O4 - HKLM\_.\Run: [ehTray] C:\WINDOWS\ehome\ehtray-exe
O4 - HKLM\_.\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck-exe
O4 - HKLM\_.\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch-exe" -start
O4 - HKLM\_.\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm-exe -startup
O4 - HKLM\_.\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor-exe"
O4 - HKLM\_.\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp-exe"
O4 - HKLM\_.\Run: [EventBot] D:\Downloads und Downloadprogramme\R-R Downloads\Neuer Ordner\Neuer Ordner (7)\GW!!11elf\BOTS\Event\data\popup-exe
O4 - HKLM\_.\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4_0\apdproxy-exe"
O4 - HKLM\_.\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN-EXE /logon
O4 - HKLM\_.\Run: [GameFace Messenger] C:\Programme\GameFace Messenger\GameFace-exe
O4 - HKLM\_.\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI-ACE\Core-Static\CLIStart-exe" MSRun
O4 - HKLM\_.\Run: [GrooveMonitor] "C:\Programme\Microsoft Office 2007\Office12\GrooveMonitor-exe"
O4 - HKLM\_.\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt-exe" /min
O4 - HKLM\_.\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched-exe"
O4 - HKLM\_.\Run: [Launch LgDeviceAgent] "C:\Programme\Logitech\GamePanel Software\LgDevAgt-exe"
O4 - HKLM\_.\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9_0\Reader\Reader_sl-exe"
O4 - HKLM\_.\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1_0\AdobeARM-exe"
O4 - HKLM\_.\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings-exe
O4 - HKLM\_.\Run: [MSWUpdate] "C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass-exe"
O4 - HKLM\_.\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask-exe" -atboottime
O4 - HKLM\_.\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper-exe"
O4 - HKLM\_.\Run: [dll] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost-exe
O4 - HKLM\_.\Run: [rof0a23409e] C:\WINDOWS\rof0a23409e-exe
O4 - HKLM\_.\Run: [r2of0a23409e] C:\WINDOWS\r2of0a23409e-exe
O4 - HKLM\_.\Run: [r2of0a21223409e] C:\WINDOWS\r2of0a21223409e-exe
O4 - HKLM\_.\Run: [r2of0a212234209e] C:\WINDOWS\r2of0a212234209e-exe
O4 - HKLM\_.\Run: [rf009rqe] C:\WINDOWS\rf009rqe-exe
O4 - HKLM\_.\Run: [rf0092rqe] C:\WINDOWS\rf0092rqe-exe
O4 - HKLM\_.\Run: [rf0092re] C:\WINDOWS\rf0092re-exe
O4 - HKCU\_.\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs-exe" /background
O4 - HKCU\_.\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent-exe"
O4 - HKCU\_.\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna-exe"
O4 - HKCU\_.\Run: [ctfmon-exe] C:\WINDOWS\system32\ctfmon-exe
O4 - HKCU\_.\Run: [AlcoholAutomount] "C:\Programme\Alcohol 120\axcmd-exe" /automount
O4 - HKCU\_.\Run: [Gammacontrol] "D:\Downloads und Downloadprogramme\R-R Downloads\Neuer Ordner (7)\CounterStrike- Gammacontrol\Gammacontrol-exe"
O4 - HKCU\_.\Run: [MSWUpdate] "C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass-exe"
O4 - HKCU\_.\Run: [SVCHost-exe] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost-exe
O4 - HKCU\_.\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG-exe
O4 - HKCU\_.\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB-exe
O4 - HKCU\_.\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1-EXE -Update -1100465 -"Mozilla/4_0 (compatible; MSIE 8_0; Windows NT 5_1; Trident/4_0; Mozilla/4_0 (compatible; MSIE 6_0; Windows NT 5_1; SV1) ; -NET CLR 1_0_3705; -NET CLR 1_1_4322; Media Center PC 4_0; -NET CLR 2_0_50727; InfoPath_2; -NET CLR 3_0_04506_30; -NET CLR 3_0_04506_648; -NET CLR 3_5_21022; -NET CLR 3_0_4506_2152; -NET CLR 3_5_30729)" -"__-arcadestreet-com/play-table-tennis-htm"
O4 - HKUS\S-1-5-19\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'SYSTEM')
O4 - HKUS\-DEFAULT\_.\Run: [CTFMON-EXE] C:\WINDOWS\system32\CTFMON-EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MIF269~1\OFFICE11\EXCEL-EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI69DF~1\Office12\EXCEL-EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE-dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE-dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7_0\ICQ-exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7_0\ICQ-exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIF269~1\OFFICE11\REFIEBAR-DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag-exe
O9 - Extra 'Tools' menuitem: _xpsp3res-dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag-exe
O9 - Extra button: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs-exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs-exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - __-acclaim-com/cabs/acclaim_v5-cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - _cdn1-acclaimdownloads-com/solidstateion-cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - __-systemrequirementslab-com/sysreqlab-cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - _icq-oberon-media-com/Gameshell/GameHost/1_0/OberonGameHost-cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - _fpdownload2-macromedia-com/get/shockwave/cabs/flash/swflash-cab
O17 - HKLM\System\CCS\Services\Tcpip\_.\{4C92A378-D9A7-4F28-8F7F-E3A8E74EAD78}: NameServer = 192_168_178_1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI69DF~1\Office12\GR99D3~1-DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1-DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2-exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc-exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched-exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard-exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
O23 - Service: Application Updater - Unknown owner - C:\Programme\Application Updater\ApplicationUpdater-exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx-exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag-exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder-exe
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Games\Dragon Age\bin_ship\DAUpdaterSvc-Service-exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService-exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT-exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC-EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService-exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs-exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc-exe
O23 - Service: npkcmsvc - Unknown owner - D:\Games\MapleStoryGlobal\npkcmsvc-exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA-exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB-exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo-exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets-exe

Jetzt habe ich eine Frage_.-kann mir jmd vielleicht mal die Prozesse, die ich nicht brauche, also die von iwelchen Programmen etc, markieren und sagen wie ich das hinbekomme, dass die bei Systemstart nicht mehr geöffnet werden?

MfG

Michi
05.04.2010, 13:08

da is schon wieder sone menge drin. mach mal das was r0cka sagt.

R0cka
05.04.2010, 13:42

mit HJT bekommste das wohl nicht weg.

versuche es mal mit Malwarebytes und Combofix und poste beide Logs hier als Antwort.

Malewarbytes/Combofix Links

Gruß R0cka

gehe bitte oberen Link nach. Du hast auf jeden Fall 2 Trojanerarten auf deinem PC. U_a. eine SVCHost-exe

Wenn du die mit meinen Links nicht wegbekommst (wenn hier Leute den Log durchgeguckt haben) Solltest du dein System neu aufsetzen.

Eine andere Frage? Nutzt du Bittorrent noch? Wenn nein: Systemsteuerung –> Software -> DNA deinstallieren.

Ausserdem bitte immer den kompletten HJT Log kopieren :)

Frohe Ostern trotzdem
R0cka

prinCe
05.04.2010, 16:57

svchost-exe ist kein trojaner/virus, kann aber infiziert werden.

O4 - HKLM\_.\Run: [rof0a23409e] C:\WINDOWS\rof0a23409e-exe
O4 - HKLM\_.\Run: [r2of0a23409e] C:\WINDOWS\r2of0a23409e-exe
O4 - HKLM\_.\Run: [r2of0a21223409e] C:\WINDOWS\r2of0a21223409e-exe
O4 - HKLM\_.\Run: [r2of0a212234209e] C:\WINDOWS\r2of0a212234209e-exe
O4 - HKLM\_.\Run: [rf009rqe] C:\WINDOWS\rf009rqe-exe
O4 - HKLM\_.\Run: [rf0092rqe] C:\WINDOWS\rf0092rqe-exe
O4 - HKLM\_.\Run: [rf0092re] C:\WINDOWS\rf0092re-exe

die exe'n sehen aber verdächtiger aus ;)

am besten mal mit ccleaner drüber gehen
und malwarebytes anti-malware drüber laufen lassen

Alex²
05.04.2010, 18:08

svchost-exe ist kein trojaner/virus, kann aber infiziert werden.

O4 - HKLM\_.\Run: [rof0a23409e] C:\WINDOWS\rof0a23409e-exe
O4 - HKLM\_.\Run: [r2of0a23409e] C:\WINDOWS\r2of0a23409e-exe
O4 - HKLM\_.\Run: [r2of0a21223409e] C:\WINDOWS\r2of0a21223409e-exe
O4 - HKLM\_.\Run: [r2of0a212234209e] C:\WINDOWS\r2of0a212234209e-exe
O4 - HKLM\_.\Run: [rf009rqe] C:\WINDOWS\rf009rqe-exe
O4 - HKLM\_.\Run: [rf0092rqe] C:\WINDOWS\rf0092rqe-exe
O4 - HKLM\_.\Run: [rf0092re] C:\WINDOWS\rf0092re-exe

die exe'n sehen aber verdächtiger aus ;)

am besten mal mit ccleaner drüber gehen
und malwarebytes anti-malware drüber laufen lassen

Jede svchost-exe die sich außerhalb von system32 bzw. SYSWOW64 befindet ist ganz sicher schädlich bzw. nicht das was sie vorgibt zu sein:

C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost-exe
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost-exe

Das sind schöne Beispiele dafür.

jürgen
05.04.2010, 19:27

ich würde vorschlagen Platte formatieren und Windows neu drauf ansonsten kann es sein das noch irgendwo rückstände vom Trojaner sind

d1n
05.04.2010, 21:35

soo ich lasse gerade anti maleware durchlaufen_.-werde wenn es fertig ist die ergebnisse posten! combofix ging iwie nicht_.-also er startet meinen pc neu und dann passiert nichts weiter_._.

soo_-hier der log:

Malwarebytes' Anti-Malware 1_45
_-malwarebytes-org

Datenbank Version: 3957

Windows 5_1_2600 Service Pack 3
Internet Explorer 8_0_6001_18702

05_04_2010 21:39:50
mbam-log-2010-04-05 (21-39-50)-txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147733
Laufzeit: 12 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1 adac-76d8-4d0f-99a5-5c907dadb988} (Rogue-Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f 4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue-WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN_1 (Adware-WhenU) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost-exe (Trojan-Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mswupdate (Trojan-Delf) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mswupdate (Trojan-Delf) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dll (Trojan-Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken-OpenCommand) -> Bad: ("regedit-exe" "%1") Good: (regedit-exe "%1") -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Trojan-Delf) -> Data: c:\dokumente und einstellungen\chris\anwendungsdaten\lsass-exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack-Shell) -> Bad: (Explorer-exe C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass-exe) Good: (Explorer-exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack-Userinit) -> Bad: (C:\WINDOWS\system32\userinit-exe,C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost-exe,) Good: (Userinit-exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\oreans32-sys (Rootkit-Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\1595-exe (Trojan-Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\8431-exe (Trojan-Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\9194-exe (Trojan-Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\777-exe (Trojan-Buzus) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass-exe (Trojan-Delf) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost-exe (Trojan-Agent) -> Quarantined and deleted successfully.



Jede svchost-exe die sich außerhalb von system32 bzw. SYSWOW64 befindet ist ganz sicher schädlich bzw. nicht das was sie vorgibt zu sein:

C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost-exe
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost-exe

Das sind schöne Beispiele dafür_
und wie bekomm ich die jetzt weg dann? :D lasse gerade noch den CCcleaner laufen!

Alex²
05.04.2010, 23:41

So voll wie das Ding mit ******* zu sein scheint, würde ich den Rechner einfach einmal neu aufsetzen. Tut den Windows Dinger eig. immer gut.

d1n
05.04.2010, 23:48

So voll wie das Ding mit ******* zu sein scheint, würde ich den Rechner einfach einmal neu aufsetzen. Tut den Windows Dinger eig. immer gut_

das problem ist, dass ich bald sowieso nen neuen holen will und jetzt eig keine lust habe alles nochmal neu zu machen für 4 monate oder so:P

aber das heißt nicht, dass ich den dann so lassen will :D ich will schon, dass das eig wieder sauber ist alles_._.

aber es muss doch möglichkeiten geben um den unnützen lässtigen scheiß runter zu bekommen oder nicht?
der ist ja auch iwie drauf gekommen^^

//edit:
aja_._-die tasks "baby" sind nicht mehr im taskmanager zu sehen_.

Rip Curl
06.04.2010, 04:07

Naja wenn du dein System wirklich sauber bekommen willst musst du dich davorsetzen und einfach manuell noch alles durchforsten per Hand, nicht einfach irgendwelche Programme durchlaufen lassen. Brauchst halt nur Geduld, Zeit und bisschen Fachwissen.

Aber wie man sieht:


Art des Suchlaufs: Quick-Scan

hast du diese wohl nicht oder einfach nur keine Geduld, also geh formatieren, ist für dich die einfachste und wohl schnellste Lösung.

Und dann nicht mehr auf den tollen unseriösen Seiten die mit Titten locken herumsurfen und nicht jeden Scheiß der mit -exe endet herunterladen und vielleicht einen Scriptblocker für den Browser benutzen.

R0cka
06.04.2010, 10:12

ich nochmal:

gehe wie folgt durch!
- versteckte Dateien anzeigen
44258
{img-src: //_-tippscout-de/images/versteckt-697-png}

- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost-exe hier (_virusscan-jotti-org/de) hochladen und auswerten lassen und Ergebnis posten
- Verlauf, Cache und Cookies löschen
- Vollständigen Suchlauf durchführen mit Malwarebytes
- Malewarbytes Log posten
- neuen HJT Log posten

d1n
06.04.2010, 13:02

Naja wenn du dein System wirklich sauber bekommen willst musst du dich davorsetzen und einfach manuell noch alles durchforsten per Hand, nicht einfach irgendwelche Programme durchlaufen lassen. Brauchst halt nur Geduld, Zeit und bisschen Fachwissen.

Aber wie man sieht:



hast du diese wohl nicht oder einfach nur keine Geduld, also geh formatieren, ist für dich die einfachste und wohl schnellste Lösung.

Und dann nicht mehr auf den tollen unseriösen Seiten die mit Titten locken herumsurfen und nicht jeden Scheiß der mit -exe endet herunterladen und vielleicht einen Scriptblocker für den Browser benutzen_

1. ich lasse gerade malewarebytes mit vollständiger suche durchlaufen_.-gestern hatte ich nur keine zeit => quickscan;)
2. auf "unseriöse" seiten treibe ich mich eig nicht rum_.-ich weiss schon, was ich mache bzw auf welchen seiten ich bin und was ich für datein runterlade ;)


ich nochmal:

gehe wie folgt durch!
- versteckte Dateien anzeigen
44259
{img-src: //_-tippscout-de/images/versteckt-697-png}

- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost-exe hier (_virusscan-jotti-org/de) hochladen und auswerten lassen und Ergebnis posten
- Verlauf, Cache und Cookies löschen
- Vollständigen Suchlauf durchführen mit Malwarebytes
- Malewarbytes Log posten
- neuen HJT Log posten

ok werde ich mal machen;)
//edit:
mhm_.-hab malewarebytes jetzt komplett durchlaufen lassen und noch 2 dateien gefunden_.-aber die exe die du meintest gibt es nicht in dem verzeichnis (auch wenn ich versteckte dateien anzeigen lasse).

hab mal pc neugestartet und nochmal hijackthis scannen lassen:

Logfile of Trend Micro HijackThis v2_0_2
Scan saved at 19:20:16, on 06_04_2010
Platform: Windows XP SP3 (WinNT 5_01_2600)
MSIE: Internet Explorer v8_00 (8_00_6001_18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss-exe
C:\WINDOWS\system32\winlogon-exe
C:\WINDOWS\system32\services-exe
C:\WINDOWS\system32\lsass-exe
C:\WINDOWS\system32\Ati2evxx-exe
C:\WINDOWS\system32\svchost-exe
C:\WINDOWS\System32\svchost-exe
C:\WINDOWS\system32\Ati2evxx-exe
C:\WINDOWS\system32\spoolsv-exe
C:\Programme\Avira\AntiVir Desktop\sched-exe
C:\WINDOWS\Explorer-EXE
C:\Programme\Avira\AntiVir Desktop\avgnt-exe
C:\Programme\ATI Technologies\ATI-ACE\Core-Static\MOM-exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2-exe
C:\Programme\Avira\AntiVir Desktop\avguard-exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
C:\Programme\Bonjour\mDNSResponder-exe
C:\WINDOWS\eHome\ehRecvr-exe
C:\WINDOWS\eHome\ehSched-exe
C:\Programme\Avira\AntiVir Desktop\avshadow-exe
C:\WINDOWS\System32\svchost-exe
C:\Programme\ATI Technologies\ATI-ACE\Core-Static\ccc-exe
C:\Programme\Java\jre6\bin\jqs-exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc-exe
C:\WINDOWS\system32\PnkBstrA-exe
C:\WINDOWS\system32\PnkBstrB-exe
C:\Programme\CyberLink\Shared Files\RichVideo-exe
C:\WINDOWS\system32\svchost-exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets-exe
C:\WINDOWS\system32\dllhost-exe
C:\WINDOWS\system32\wbem\wmiapsrv-exe
C:\Programme\ICQ7_0\ICQ-exe
C:\WINDOWS\system32\ctfmon-exe
C:\Programme\Messenger\msmsgs-exe
C:\Programme\Mozilla Firefox\firefox-exe
C:\Programme\HijackThis\HijackThis-exe

O4 - HKCU\_.\Run: [ctfmon-exe] C:\WINDOWS\system32\ctfmon-exe
O4 - HKCU\_.\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs-exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MIF269~1\OFFICE11\EXCEL-EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI69DF~1\Office12\EXCEL-EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE-dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE-dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll (file missing)
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll (file missing)
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7_0\ICQ-exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7_0\ICQ-exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIF269~1\OFFICE11\REFIEBAR-DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag-exe
O9 - Extra 'Tools' menuitem: _xpsp3res-dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag-exe
O9 - Extra button: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs-exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs-exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - __-acclaim-com/cabs/acclaim_v5-cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - _cdn1-acclaimdownloads-com/solidstateion-cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - __-systemrequirementslab-com/sysreqlab-cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - _icq-oberon-media-com/Gameshell/GameHost/1_0/OberonGameHost-cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - _fpdownload2-macromedia-com/get/shockwave/cabs/flash/swflash-cab
O17 - HKLM\System\CCS\Services\Tcpip\_.\{4C92A378-D9A7-4F28-8F7F-E3A8E74EAD78}: NameServer = 192_168_178_1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI69DF~1\Office12\GR99D3~1-DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1-DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2-exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc-exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched-exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard-exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
O23 - Service: Application Updater - Unknown owner - C:\Programme\Application Updater\ApplicationUpdater-exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx-exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag-exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder-exe
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Games\Dragon Age\bin_ship\DAUpdaterSvc-Service-exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService-exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT-exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC-EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService-exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs-exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc-exe
O23 - Service: npkcmsvc - Unknown owner - D:\Games\MapleStoryGlobal\npkcmsvc-exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA-exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB-exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo-exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets-exe

--
End of file - 7431 bytes

R0cka
07.04.2010, 08:13

der neue Log sieht jetzt wesentlich besser aus. Mit Malwarebytes hast du die schädlichen Prozesse alle wegbekommen :thumbsup:

nun noch folgendes fixen:


O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll (file missing)

O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll (file missing)

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin-dll (file missing)

O9 - Extra button: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker-net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming-Net\PartyPokerNet\RunPF-exe (file missing)

O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - _cdn1-acclaimdownloads-com/solidstateion-cab

Wenn du die folgende Datei nicht benötigst, solltest du sie per Hand löschen:

O23 - Service: Application Updater - Unknown owner - C:\Programme\Application Updater\ApplicationUpdater-exe (file missing)

Mach am WE noch mal einen Malwarescan und gucke selbst, ob dort wieder Sachen aufgetaucht sind_

Gruß

R0cka

d1n
07.04.2010, 23:00

soo hier nochmal ein logfile von gerade:

Logfile of Trend Micro HijackThis v2_0_2
Scan saved at 23:00:19, on 07_04_2010
Platform: Windows XP SP3 (WinNT 5_01_2600)
MSIE: Internet Explorer v8_00 (8_00_6001_18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss-exe
C:\WINDOWS\system32\winlogon-exe
C:\WINDOWS\system32\services-exe
C:\WINDOWS\system32\lsass-exe
C:\WINDOWS\system32\Ati2evxx-exe
C:\WINDOWS\system32\svchost-exe
C:\WINDOWS\System32\svchost-exe
C:\WINDOWS\system32\Ati2evxx-exe
C:\WINDOWS\system32\spoolsv-exe
C:\Programme\Avira\AntiVir Desktop\sched-exe
C:\WINDOWS\Explorer-EXE
C:\WINDOWS\system32\ctfmon-exe
C:\Programme\Messenger\msmsgs-exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2-exe
C:\Programme\Avira\AntiVir Desktop\avguard-exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
C:\Programme\Bonjour\mDNSResponder-exe
C:\WINDOWS\eHome\ehRecvr-exe
C:\WINDOWS\eHome\ehSched-exe
C:\Programme\Avira\AntiVir Desktop\avshadow-exe
C:\WINDOWS\System32\svchost-exe
C:\Programme\Java\jre6\bin\jqs-exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc-exe
C:\WINDOWS\system32\PnkBstrA-exe
C:\WINDOWS\system32\PnkBstrB-exe
C:\Programme\CyberLink\Shared Files\RichVideo-exe
C:\WINDOWS\system32\svchost-exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets-exe
C:\WINDOWS\system32\dllhost-exe
C:\WINDOWS\system32\wbem\wmiapsrv-exe
C:\Programme\Avira\AntiVir Desktop\avgnt-exe
C:\Programme\ICQ7_0\ICQ-exe
C:\Programme\DivX\DivX Update\DivXUpdate-exe
C:\Programme\Mozilla Firefox\firefox-exe
C:\Programme\HijackThis\HijackThis-exe

O4 - HKLM\_.\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck-exe
O4 - HKLM\_.\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate-exe" /CHECKNOW
O4 - HKLM\_.\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32\rundll32-exe" "C:\Programme\NOS\bin\getPlus_Helper-dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1noarp
O4 - HKCU\_.\Run: [ctfmon-exe] C:\WINDOWS\system32\ctfmon-exe
O4 - HKCU\_.\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs-exe" /background
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - __-acclaim-com/cabs/acclaim_v5-cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - _cdn1-ac claimdownloads-com/solidstateion-cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http: //_-systemreq uirementslab-com/sysreqlab-cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - _ icq-oberon-med ia-com/Gameshell/GameHost/1_0/OberonGameHost-cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http: //fpdownload2_m acromedia-com/get/shockwave/cabs/flash/swflash-cab
O17 - HKLM\System\CCS\Services\Tcpip\_.\{4C92A378-D9A7-4F28-8F7F-E3A8E74EAD78}: NameServer = 192_168_178_1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI69DF~1\Office12\GR99D3~1-DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1-DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2-exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc-exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched-exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard-exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx-exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag-exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder-exe
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Games\Dragon Age\bin_ship\DAUpdaterSvc-Service-exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService-exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT-exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC-EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService-exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs-exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc-exe
O23 - Service: npkcmsvc - Unknown owner - D:\Games\MapleStoryGlobal\npkcmsvc-exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA-exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB-exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo-exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets-exe

--
End of file - 5497 bytes

bitte eben das was ich noch fixen KANN/SOLLTE markieren bzw zitieren und mir sagen, WIE ich das am besten fixen kann;) :)
aber danke bis jetzt schonmal! einige haben echt super geholfeN!

Alkaselsa
07.04.2010, 23:06

O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - _cdn1-acclaimdownloads-com/solidstateion-cab

O23 - Service: npkcmsvc - Unknown owner - D:\Games\MapleStoryGlobal\npkcmsvc-exe (file missing)

die beiden fixen dann fertig^^

d1n
07.04.2010, 23:15

O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - _cdn1-acclaimdownloads-com/solidstateion-cab

O23 - Service: npkcmsvc - Unknown owner - D:\Games\MapleStoryGlobal\npkcmsvc-exe (file missing)

die beiden fixen dann fertig^^

ja und wie?^^ :P

Alkaselsa
07.04.2010, 23:16

die dinge im HJT anklicken (das viereckige kästchen) dann unten auf "Fix" klicken fertig

Crack02
08.04.2010, 22:03

O4 - HKLM\_.\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck-exe
das teil prüft bei jedem neustart, ob sich die hardwarekonfiguration geändert hat.
da du normalerweise nicht jeden tag nen anderen brenner oder festplatte oder was weiß ich ein- und/oder ausbaust, ist der autostart unnötig.


O4 - HKLM\_.\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9_0\Reader\Reader_sl-exe"
wenn du den adobe reader nicht allzuoft brauchst, macht es sicher nichts, wenn du einmal 2 sekunden länger warten musst, bis das pdf angezeigt wird. die 2 sekunden sparst du dir dann beim boot.


C:\WINDOWS\system32\ctfmon-exe
das ctfmon teil ist afaik irgendwas, was mit ms office zu tun hat. ich selbst habs nie gebraucht und mittels msconfig deaktiviert.

Wenn dich die vielen prozesse und die popups von antivir free stören, kannst du zu microsoft security essentials wechseln. der scanner taugt auch und hat keine popups ^^

ChillingStream
08.04.2010, 22:53

Wenn dich die vielen prozesse und die popups von antivir free stören, kannst du zu microsoft security essentials wechseln. der scanner taugt auch und hat keine popups ^^

das kann ich nur bestätigen, die MSSE werden von vielen unterschätzt, weils halt ein MS produkt ist. ich habe alle meine PCs nun auf MSSE geswitched und bin zufrieden :)

d1n
08.04.2010, 23:29

das teil prüft bei jedem neustart, ob sich die hardwarekonfiguration geändert hat.
da du normalerweise nicht jeden tag nen anderen brenner oder festplatte oder was weiß ich ein- und/oder ausbaust, ist der autostart unnötig.


wenn du den adobe reader nicht allzuoft brauchst, macht es sicher nichts, wenn du einmal 2 sekunden länger warten musst, bis das pdf angezeigt wird. die 2 sekunden sparst du dir dann beim boot.


das ctfmon teil ist afaik irgendwas, was mit ms office zu tun hat. ich selbst habs nie gebraucht und mittels msconfig deaktiviert.

Wenn dich die vielen prozesse und die popups von antivir free stören, kannst du zu microsoft security essentials wechseln. der scanner taugt auch und hat keine popups ^^


das kann ich nur bestätigen, die MSSE werden von vielen unterschätzt, weils halt ein MS produkt ist. ich habe alle meine PCs nun auf MSSE geswitched und bin zufrieden :)

alles klar:) danke für die hinweise_.-habe mir MSSE jetzt mal runtergeladen und werde es testen;)

soo hier nochmal nen logfile von HJT:

Logfile of Trend Micro HijackThis v2_0_2
Scan saved at 14:33:51, on 09_04_2010
Platform: Windows XP SP3 (WinNT 5_01_2600)
MSIE: Internet Explorer v8_00 (8_00_6001_18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss-exe
C:\WINDOWS\system32\winlogon-exe
C:\WINDOWS\system32\services-exe
C:\WINDOWS\system32\lsass-exe
C:\WINDOWS\system32\Ati2evxx-exe
C:\WINDOWS\system32\svchost-exe
C:\Programme\Microsoft Security Essentials\MsMpEng-exe
C:\WINDOWS\System32\svchost-exe
C:\WINDOWS\system32\Ati2evxx-exe
C:\WINDOWS\system32\spoolsv-exe
C:\WINDOWS\Explorer-EXE
C:\Programme\Microsoft Security Essentials\msseces-exe
C:\Programme\Messenger\msmsgs-exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2-exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
C:\Programme\Bonjour\mDNSResponder-exe
C:\WINDOWS\eHome\ehRecvr-exe
C:\WINDOWS\eHome\ehSched-exe
C:\WINDOWS\System32\svchost-exe
C:\Programme\Java\jre6\bin\jqs-exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc-exe
C:\WINDOWS\system32\PnkBstrA-exe
C:\WINDOWS\system32\PnkBstrB-exe
C:\Programme\CyberLink\Shared Files\RichVideo-exe
C:\WINDOWS\system32\svchost-exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets-exe
C:\WINDOWS\system32\wuauclt-exe
C:\WINDOWS\system32\dllhost-exe
C:\WINDOWS\system32\wbem\wmiapsrv-exe
C:\Programme\HijackThis\HijackThis-exe

O4 - HKLM\_.\Run: [MSSE] "C:\Programme\Microsoft Security Essentials\msseces-exe" -hide -runkey
O4 - HKCU\_.\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs-exe" /background
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - __-acclaim-com/cabs/acclaim_v5-cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - __-systemrequirementslab-com/sysreqlab-cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - _icq-oberon-media-com/Gameshell/GameHost/1_0/OberonGameHost-cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - _fpdownload2-macromedia-com/get/shockwave/cabs/flash/swflash-cab
O17 - HKLM\System\CCS\Services\Tcpip\_.\{4C92A378-D9A7-4F28-8F7F-E3A8E74EAD78}: NameServer = 192_168_178_1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI69DF~1\Office12\GR99D3~1-DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1-DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2-exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc-exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService-exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx-exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag-exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder-exe
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Games\Dragon Age\bin_ship\DAUpdaterSvc-Service-exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService-exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT-exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC-EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService-exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs-exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc-exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA-exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB-exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo-exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets-exe

--
End of file - 4518 bytes

klaiser
09.04.2010, 20:09

ich würde vorschlagen Platte formatieren und Windows neu drauf ansonsten kann es sein das noch irgendwo rückstände vom Trojaner sind

Bei dieser infizierten OS ist es wohl das Beste, wie kommt es überhaupt soweit? Also mein Tipp ist es sich Avast zu saugen und die Boot-Zeit-Prüfung starten.

p_s. nicht soviel auf unbekannten Pornoseiten surfen. :D



raid-rush.ws | Imprint & Contact pr