C:\WINDOWS\services.exe + fservice.exe / Troj/Prorat

#0
21.05.2005, 10:31
...neu hier

Beiträge: 9
#1 Moin

ich hab ein prob mit service.exe(sie wird bei hijackthis als böse angezeigt -.- aber man kann sie nicht löschen die kommt immer wieder) die exe ist im windows ordner und nicht oin s32 ordner und immer wen ich den prozess mir killbox oder so löschen will kackt mein system ab -.-

Logfile of HijackThis v1.99.1
Scan saved at 10:29:29, on 21.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\services.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Rico\Desktop\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Anti-Hacker] C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



ich hoffe ihr könnt mir helfen schon mal ein dickes thx*gg*

MfG
Cody
Seitenanfang Seitenende
21.05.2005, 13:40
Member

Beiträge: 291
#2 Der Rechner kackt dir jedesmal ab, weil services.exe ein Systemprozess ist. Besteht aber eigentlich aus mehreren einzelnen Prozessen. Glaub ich zumindest. Kann sein das das, was dir HijackThis anzeigt bloß ein Fehlalarm ist. Gibt aber auch Viren, die sich in diesem Prozess "verstecken".
Seitenanfang Seitenende
21.05.2005, 13:55
Member

Beiträge: 1132
#3 Hallo Cody,

c:\windows\services.exe = Troj/Legmir-E
http://www.sophos.de/virusinfo/analyses/trojlegmire.html
ist ein Keylogger. Den könnte man recht leicht wieder entfernen.

C:\WINDOWS\system32\services.exe ist ein legitimer Prozess!

Aber Du hast anscheinend die HJT Log-Auswertung nicht ganz zu Ende gelesen. Da ist noch ein Problem. Und das ist ein ganz anderes Kaliber!
C:\WINDOWS\system32\fservice.exe = Troj/Prorat-I
http://www.sophos.de/virusinfo/analyses/trojprorati.html
ein Backdoor Trojaner, der Dein System kompromittiert hat. Imho wäre es die sauberste Lösung, wenn Du Dein System neu aufsetzen würdest und, vor allem, alle Deine Passwörter sofort änderst.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
22.05.2005, 10:13
...neu hier

Themenstarter

Beiträge: 9
#4 ne ich kann das nicht machen mein system neu aufsetzten ab mal was dagegen gemacht!

neues hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 10:12:20, on 22.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Rico\Desktop\s-t-i-n-g-e-r.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Rico\Desktop\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hackdevilspage.de.vu/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Anti-Hacker] C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)

ich hoffe es sieht besser für mich aus !???

danke

Cody
Seitenanfang Seitenende
22.05.2005, 10:32
Member

Beiträge: 1132
#5 Hi Cody,

das Log sieht jetzt sauber aus. Nur, du weißt halt nicht, was der Backdoor bereits mit Deinem System angerichtet hat. Wenn Du damit leben willst oder aus irgendwelchen Gründen musst- na gut! Ist Deine Entscheidung.

Das Einzige was ich da noch empfehlen kann ist, das volle Programm wie in
http://board.protecus.de/t16317.htm
und
http://board.protecus.de/t9373.htm
beschrieben!

Insbesondere mit eScan Dein System scannen und alles, was als "infected" gefunden wird, mit der Killbox zu löschen.
Desweiteren einige Online Scans durchführen:
Symantec
http://security.symantec.com/default.asp?

f-secure
http://support.f-secure.com/enu/home/ols.shtml

McAfee FreeScan
www.mcafee.com/myapps/mfs/default.asp

Trend-Micro
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

BitDefender
www.bitdefender.com/scan/Msie/index.php

Panda
http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
22.05.2005, 18:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Troj/Prorat-I

Start<Ausfuehren<regedit

loesche , falls es noch da ist:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
loesche mit rechtsklick:
DirectX For Microsoft® Windows = C:\WINDOWS\system32\fservice.exe

<HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe \\\
loesche diesesn Eintrag mit rechtsklick:
C:\WINDOWS\system32\fservice.exe

<HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\
loesche:
(5Y99AE78-58TT-11dW-BE53-Y67078979Y)\
StubPath = "C:\WINDOWS\system32\sservice.exe"

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\windows\system32\fservice.exe.bat
C:\windows\services.exe
C:\windows\system32\sservice.exe
C:\windows\system32\fservice.exe
C:\windows\system32\wininv.dll
C:\WINDOWS\System32\reginv.dll
C:\windows\system32\winkey.dll

neustarten

+ Onlinescans machen+ berichten
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.05.2005, 21:28
...neu hier

Themenstarter

Beiträge: 9
#7 hab heute nacht mal kaspersky( escan ist von kaspersky) hat um die 16trojaner gefunden*fg* die ganzen system32 sachen sind verschwunden glaub die hab ich schon mit kaspersky gelöscht werde heute kasper noch mal im abgesicherten modus laufen lassen!!!

online scan sagt auch alles ist okay^^

pws und so hab ich auch geändert -.-


danke für eure hilfe

MfG
Cody
Seitenanfang Seitenende
22.05.2005, 21:55
Member

Beiträge: 1132
#8 Hi Cody,

Zitat

escan ist von kaspersky
Da wird MicroWorld nicht ganz damit einverstanden sein. eScan benutzt die Kaspersky-Engine bei der Virensuche, ist aber sonst ein eigenständiges Programm.

Nachdem Dein System (mehr oder weniger) gereinigt ist, sollte sich für Dich nur noch die Frage stellen: wodurch und wohin.
Wodurch kam diese Infektion und wie kann ich sowas in Zukunft vermeiden? Infos zur Vermeidung von Infektionen gibt es reichlich hier im Board.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 22.05.2005 um 21:58 Uhr von Heron editiert.
Seitenanfang Seitenende
22.05.2005, 23:31
...neu hier

Themenstarter

Beiträge: 9
#9 ich weiß schon warum ich das hatte...
ich spiel so ein browsergames(insel-monarchie) und da hab ich mich mir jemanden gut verstanden naja nach 4tagen hab ich denn mal mit jemand ganz langd geskypt und der andere wollte auch skypen und hat immer genervt und so naja er hat überhaupt nicht mehr aufgehört also hab ich ihn aus spaß mal seine insel rot gefärbt naja er hat nix gesagt hat mir ergenein prog geschickt und ich sollte es mal auf machen da ich ihn vertraue hab ich es gemacht naja war ein fehler er hat mich den auch gehackt und so naja ich mach jetzt nix mehr auf ohne es mal zu scanen kaspersky ist bei mir immer aus weil der echtzeit schutzt zu viel schlugt mein pc hat nur 265mb arbeitsspeicher und denn kann ich nix mehr machen ist auch immer alles okay gewesen jede nacht einmal den scan gestartet wen ich mal zu ein freund geh las ich ad-ware oder was anderes laufen naja hat nie probs mit so was er hat mir den gesagt ich lass mich nicht einfach so angreiffen ich so glaubst du ich greiff ein privat bundniss von mir an?? naja hab ihn klar gemacht das ich nicht so ein Ars..*patsch* wie er bin naja er fand es lustig und hat mich ausgelacht!!! ich hasse so ne typen man große fress hinterm pc aber in echt sind das so ne schisser!!!

naja mein system ist schon sicher^^

danke für eure hilfe

werde denn heute abend escan laufen lassen^^

wie kann man eigentlich die temporary internet files löschen wen ich ein scan macht braucht der da immer voll lange -.- ist bestimmt wegen mein online game^^ ergenwie wird da jeder klick den ich da macht gespeichert und ich klick über 800mal am tag^^

MfG
Cody
Seitenanfang Seitenende
23.05.2005, 00:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.05.2005, 17:34
...neu hier

Themenstarter

Beiträge: 9
#11 danke hab ich gemacht^^

bei den ganzen tools ist ein tool das heiss kill2me.exe was macht daS?

MfG
Cody
Seitenanfang Seitenende
23.05.2005, 23:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 kill2me.exe dient zum Loeschen von Look2me
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.11.2008, 15:48
...neu hier

Beiträge: 1
#13 hallo,
bei mir wird tritt beim hochfahren die fehlermeldung c:\windows\system32\fservice.exe konnte nicht gefunden werden auf.
hier mein HijackThis v2.0.2 Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:34:36, on 30.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Security\Panda Internet Security 2009\TPSrv.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\PROGRAMME\PANDA SECURITY\PANDA INTERNET SECURITY 2009\WebProxy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Panda Security\Panda Internet Security 2009\PsCtrls.exe
C:\Programme\Panda Security\Panda Internet Security 2009\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe
C:\Programme\Panda Security\Panda Internet Security 2009\PsImSvc.exe
C:\Programme\Panda Security\Panda Internet Security 2009\PskSvc.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Panda Security\Panda Internet Security 2009\pavsrv51.exe
C:\Programme\Panda Security\Panda Internet Security 2009\AVENGINE.EXE
c:\programme\panda security\panda internet security 2009\firewall\PSHOST.EXE
C:\WINDOWS\Explorer.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Panda Security\Panda Internet Security 2009\APVXDWIN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CD_Load.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Panda Security\Panda Internet Security 2009\SRVLOAD.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Panda Security\Panda Internet Security 2009\PavJobs.exe
C:\Program Files\Mr Blacks firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Panda Security\Panda Internet Security 2009\avciman.exe
C:\Programme\Panda Security\Panda Internet Security 2009\psimreal.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: QXK Olive - {E7E4053B-FD23-448B-842F-793DD49AA53C} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: rosqxvmn - {E01D0ACE-25AC-4353-87EF-6CB2B368E3C7} - (no file)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2009\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2009\Inicio.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Cydoor] CD_Load.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download All Links with IDM - C:\Programme\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Programme\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - C:\Programme\SmartWhois\swmsie.exe
O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe
O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe
O20 - AppInit_DLLs: karna.dat
O21 - SSODL: ngwstxfd - {4A6179A4-8C68-4BBC-98F1-E8FC0453F9B1} - C:\WINDOWS\ngwstxfd.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: SecurStar DCPP 3.81+ Service (DCPP2Svc) - Unknown owner - C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Unknown owner - C:\Programme\Nero\Nero 7\InCD\NBHRegInCDSrv.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda security\panda internet security 2009\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PskSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Steganos AntiTheft - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\TPSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 12672 bytes

Danke für hilfe
Seitenanfang Seitenende