SVCHOST 100% Auslastung Hijack file inkl

#0
06.12.2005, 12:25
...neu hier

Beiträge: 4
#1 Ich glaube ich hab mir was eingefangen.
Bitte um hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 11:50:49, on 06.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\pc-bib\PCLib.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe




gruß
Seitenanfang Seitenende
06.12.2005, 16:24
Member
Avatar Gool

Beiträge: 4730
#2 Häkchen setzen und "fix checked" anklicken:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

Lösche alle temporären Dateien (CCleaner: http://www.ccleaner.com/ccdownload.asp)

Lösche mit Killbox folgende Dateien (http://managor.de/killbox.htm)

C:\winstall.exe
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\bxproxy.exe
c:\secure32.html

Vier Log-Dateien erstellen: http://virus-protect.org/datfindbat.html
Daraus die Einträge der vergangenen drei Wochen kopieren (vor jeedem Eintrag steht ein Datum)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
06.12.2005, 16:29
...neu hier

Themenstarter

Beiträge: 4
#3 O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe war in hijack nicht mehr drin

C:\winstall.exe
C:\WINDOWS\system32\paytime.exe

sind auch nicht mehr da.

C:\WINDOWS\bxproxy.exe konnte nicht gelöscht werden durhc killbox


c:\secure32.html gelöscht.




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04CD-8203

Verzeichnis von C:\WINDOWS\system32

04.12.2005 17:27 311.604 perfh009.dat
04.12.2005 17:27 39.992 perfc009.dat
04.12.2005 17:27 316.594 perfh007.dat
04.12.2005 17:27 48.156 perfc007.dat
04.12.2005 17:27 723.744 PerfStringBackup.INI
04.12.2005 14:12 24.576 RpcxSs.dll
04.12.2005 14:12 69.632 bnmsrv.exe
04.12.2005 11:14 2.206 wpa.dbl
15.11.2005 00:00 196.960 FNTCACHE.DAT




Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04CD-8203

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

06.12.2005 16:38 210 kb.log
06.12.2005 15:27 18.545 jusched.log
06.12.2005 14:54 72.192 ~e5.0001
06.12.2005 14:54 4.132 bt6706.bat
06.12.2005 12:50 4.132 bt0566.bat
06.12.2005 11:55 24.504 java_install_reg.log
05.12.2005 17:13 4.132 bt2265.bat
05.12.2005 14:31 4.132 bt1111.bat
05.12.2005 14:28 2.108.254 MWAV.LOG
05.12.2005 14:28 4.033 mwXface.log
05.12.2005 13:48 241.664 MYDB.DLL
05.12.2005 02:19 9.802 d41e_appcompat.txt
04.12.2005 21:17 4.132 bt3624.bat
04.12.2005 18:27 4.132 bt4128.bat
04.12.2005 14:12 69.632 bot.exe
04.12.2005 14:11 77.212 msarch.exe
03.12.2005 19:36 65.536 ~DFC0E5.tmp
03.12.2005 02:11 361.984 viewtcp.exe
02.12.2005 15:10 40.907 daily.avc
02.12.2005 15:10 11.409 avp.klb
02.12.2005 15:05 44.182 Finnish.Age
02.12.2005 15:05 47.161 Polish.Age
02.12.2005 15:05 47.198 French.Age
02.12.2005 15:05 47.527 Spanish.Age
02.12.2005 15:05 43.123 Romanian.Age
02.12.2005 15:05 46.695 Portuguese.Age
02.12.2005 15:05 54.680 Italian.Age
02.12.2005 15:05 66.329 German.Age
02.12.2005 14:18 16.384 ~DF9642.tmp
02.12.2005 14:01 339.968 MWAVReg.EXE
02.12.2005 10:59 83.879 virus016.avc
02.12.2005 10:59 1.783 daily-ex.avc
02.12.2005 10:59 48.179 malw004.avc
02.12.2005 10:59 94.797 unp026.avc
02.12.2005 10:59 48.117 ext002.avc
01.12.2005 19:10 16.384 ~DFD170.tmp
01.12.2005 19:09 16.384 ~DF8E89.tmp
01.12.2005 19:08 65.536 ~DF3932.tmp
01.12.2005 18:18 5.306 Finnish.dow
01.12.2005 18:18 5.886 Polish.dow
01.12.2005 18:18 5.768 French.dow
01.12.2005 18:18 5.766 Spanish.dow
01.12.2005 18:18 5.371 Romanian.dow
01.12.2005 18:18 5.710 Portuguese.dow
01.12.2005 18:18 5.393 Italian.dow
01.12.2005 18:18 5.499 German.dow
01.12.2005 15:32 489.472 Download.exe
01.12.2005 15:31 5.108 English.dow
29.11.2005 20:20 16.384 ~DFFB2D.tmp
29.11.2005 17:34 16.384 ~DFB271.tmp
29.11.2005 10:37 49.343 worm005.avc
29.11.2005 10:37 218.120 troj033.avc
27.11.2005 01:29 16.384 ~DF884D.tmp
26.11.2005 00:11 16.384 ~DF42F7.tmp
25.11.2005 23:59 331.776 esupdate.exe
25.11.2005 23:49 38.082 ext005.avc
25.11.2005 23:49 107.785 troj034.avc
25.11.2005 23:49 29.992 gen004.avc
25.11.2005 23:49 52.952 base081.avc
25.11.2005 23:49 21.315 fa.avc
25.11.2005 23:49 49.194 troj032.avc
25.11.2005 17:33 1.397 Chinese.tcp
25.11.2005 17:33 7.378 Chinese.con
25.11.2005 17:29 1.718 Spanish.tcp
25.11.2005 17:29 1.718 Spanishl.tcp
25.11.2005 17:29 10.405 Spanish.con
25.11.2005 17:27 1.837 Polish.tcp
25.11.2005 17:26 11.277 Polish.con
25.11.2005 17:25 1.895 Portuguese.tcp
25.11.2005 17:24 10.655 Portuguese.con
25.11.2005 17:24 1.718 Italian.tcp
25.11.2005 17:23 9.555 Italian.con
25.11.2005 17:23 1.886 French.tcp
25.11.2005 17:21 10.998 French.con
25.11.2005 17:19 1.750 Finnish.tcp
25.11.2005 17:18 10.091 Finnish.con
25.11.2005 17:15 12.789 German.con
25.11.2005 14:24 375.360 mwavscan.com
25.11.2005 03:41 36.712 virus020.avc
24.11.2005 17:36 122.880 msvlclnt.dll
24.11.2005 17:34 41.024 Getvlist.exe
24.11.2005 02:08 97.280 MWAVL.exe
23.11.2005 22:25 188.662 unp025.avc
23.11.2005 22:25 50.879 troj009.avc
23.11.2005 22:25 69.613 ca.avc
23.11.2005 22:25 37.093 unp012.avc
23.11.2005 22:25 32.829 krnexe.avc
23.11.2005 16:32 579.624 Cid.sdb
23.11.2005 16:32 131.338 Spyware.sdb
23.11.2005 16:32 145.347 spydb.old
23.11.2005 16:32 388.135 Dir.sdb
23.11.2005 16:32 145.347 spydb.avs
23.11.2005 16:32 1.689.583 File1.sdb
23.11.2005 16:32 118.031 File2.sdb
22.11.2005 17:49 41.946 language.ini
22.11.2005 17:49 41.946 English.Age
21.11.2005 21:12 16.384 ~DF5101.tmp
21.11.2005 20:37 16.384 ~DF6AB4.tmp
21.11.2005 14:59 283 wahtmltmp00.htm
21.11.2005 13:06 1.570 avp.set
18.11.2005 23:04 53.738 1da0_appcompat.txt
18.11.2005 19:32 101.737 troj005.avc
18.11.2005 19:32 14.008 kernel.avc
18.11.2005 19:32 29.097 unp021.avc
18.11.2005 19:32 28.752 krnengn.avc
18.11.2005 19:32 44.623 unp018.avc
18.11.2005 19:32 50.729 krnexe32.avc
18.11.2005 12:01 7.187 Polish.lic
17.11.2005 16:14 16.384 ~DF360.tmp
17.11.2005 13:10 9.374 unp000.avc
17.11.2005 13:10 92.411 krnmacro.avc
17.11.2005 13:10 62.198 unp015.avc
16.11.2005 23:19 65.536 ~DF546E.tmp
16.11.2005 22:18 512 ~DFBAE7.tmp
16.11.2005 22:18 16.384 ~DFBADB.tmp
16.11.2005 21:06 512 ~DFCB31.tmp
16.11.2005 21:06 16.384 ~DFCB25.tmp
16.11.2005 20:58 16.384 ~DFAA6B.tmp
16.11.2005 20:58 512 ~DFAA77.tmp
16.11.2005 20:58 16.384 ~DFAA33.tmp
16.11.2005 20:58 512 ~DFAA3F.tmp
16.11.2005 20:58 16.384 ~DFA9D8.tmp
16.11.2005 20:58 512 ~DFA9E4.tmp
16.11.2005 20:58 16.384 ~DFA7F0.tmp
16.11.2005 20:58 512 ~DFA7FC.tmp
16.11.2005 20:58 16.384 ~DF9EB8.tmp
16.11.2005 20:58 512 ~DF9EC4.tmp
16.11.2005 20:58 512 ~DF9E86.tmp
16.11.2005 20:58 512 ~DF9E2B.tmp
16.11.2005 20:58 16.384 ~DF9E1F.tmp
16.11.2005 20:58 16.384 ~DF9E7A.tmp
16.11.2005 20:58 512 ~DF9BEF.tmp
16.11.2005 20:58 16.384 ~DF9BE3.tmp
16.11.2005 17:49 16.384 ~DF35DB.tmp
16.11.2005 17:49 512 ~DF35E7.tmp
16.11.2005 17:48 0 icq1D.tmp
16.11.2005 17:48 0 icq20.tmp
16.11.2005 17:48 0 icq1F.tmp
16.11.2005 17:48 0 icq1E.tmp
16.11.2005 17:48 16.384 ~DFDD41.tmp
16.11.2005 17:48 512 ~DFDD4D.tmp
16.11.2005 01:04 16.384 ~DFA5D6.tmp
16.11.2005 01:04 512 ~DFA5E2.tmp
15.11.2005 11:54 50.458 troj008.avc
15.11.2005 11:54 6.101 smart.avc
15.11.2005 11:54 34.125 worm006.avc
15.11.2005 11:54 14.227 mail.avc
14.11.2005 13:15 43.520 ~WRS0002.tmp
14.11.2005 13:15 25.725 ~WRD0000.doc
14.11.2005 13:15 32.768 ~WRF0001.tmp
14.11.2005 13:15 415 WINWORD.log
14.11.2005 13:15 33.792 ~WRC0000.tmp
13.11.2005 19:46 512 ~DFD37C.tmp
13.11.2005 19:46 16.384 ~DFD370.tmp
13.11.2005 19:46 16.384 ~DFD338.tmp
13.11.2005 19:46 512 ~DFD344.tmp
13.11.2005 19:46 512 ~DFD315.tmp
13.11.2005 19:46 16.384 ~DFD309.tmp
13.11.2005 19:46 512 ~DFD20D.tmp
13.11.2005 19:46 16.384 ~DFD201.tmp
13.11.2005 19:46 16.384 ~DFCDE5.tmp
13.11.2005 19:46 512 ~DFCDF2.tmp
13.11.2005 19:45 512 ~DF6B2F.tmp
13.11.2005 19:45 16.384 ~DF6B1D.tmp
12.11.2005 11:06 65.536 ~DFE497.tmp
11.11.2005 23:12 512 ~DF7B54.tmp
11.11.2005 23:12 16.384 ~DF7B48.tmp
11.11.2005 23:12 512 ~DF7B16.tmp
11.11.2005 23:12 512 ~DF7ABB.tmp
11.11.2005 23:12 16.384 ~DF7B0A.tmp
11.11.2005 23:12 16.384 ~DF7AAF.tmp
11.11.2005 23:12 16.384 ~DF786E.tmp
11.11.2005 23:12 512 ~DF787A.tmp
11.11.2005 19:41 65.536 ~DF6EAE.tmp
11.11.2005 17:35 512 ~DF1B64.tmp
11.11.2005 17:35 16.384 ~DF1B58.tmp
11.11.2005 15:51 512 ~DFEBE1.tmp
11.11.2005 15:51 16.384 ~DFEBD5.tmp

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04CD-8203

Verzeichnis von C:\WINDOWS

06.12.2005 15:29 323.270 setupapi.log
06.12.2005 15:29 0 0.log
06.12.2005 15:27 2.048 bootstat.dat
06.12.2005 15:26 36.602 WindowsUpdate.log
06.12.2005 14:04 5.192 wmsetup.log
06.12.2005 11:47 216 wiadebug.log
06.12.2005 09:05 50 wiaservc.log
05.12.2005 13:49 0 Lic.xxx
04.12.2005 20:56 116 NeroDigital.ini
04.12.2005 14:15 2.033 hosts
04.12.2005 14:15 21.474 DirectX.log
04.12.2005 14:12 3.031 secure32.html
04.12.2005 14:12 69.632 bxproxy.exe
04.12.2005 14:12 1.024 degbes.exe
04.12.2005 14:11 1.024 de.exe
04.12.2005 14:11 1.536 kl.exe
04.12.2005 14:11 0 uniq
10.11.2005 19:09 400 ODBC.INI
10.11.2005 19:08 573 win.ini

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04CD-8203

Verzeichnis von C:\

06.12.2005 16:44 0 sys.txt
06.12.2005 16:43 4.692 system.txt
06.12.2005 16:42 19.813 systemtemp.txt
06.12.2005 16:42 94.971 system32.txt
06.12.2005 15:27 536.449.024 hiberfil.sys
06.12.2005 15:27 805.306.368 pagefile.sys
05.12.2005 14:26 6 AVPCallback.log
25.10.2005 10:45 211 boot.ini
Das Prob ist immernoch da.
Dieser Beitrag wurde am 07.12.2005 um 12:29 Uhr von Christoph19 editiert.
Seitenanfang Seitenende
07.12.2005, 17:14
Member
Avatar Gool

Beiträge: 4730
#4 Lösche alle temporären Dateien (CCleaner: http://www.ccleaner.com/ccdownload.asp)

Lösche mit Killbox:

C:\windows\system32\bnmsrv.exe
C:\windows\Lic.xxx
c:\windows\hosts
c:\windows\secure32.html
c:\windows\bxproxy.exe
c:\windows\degbes.exe
c:\windows\de.exe
c:\windows\kl.exe
c:\windows\uniq
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\bot.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\msarch.exe

(falls vorhanden):

c:\Windows\tool1.exe
c:\Windows\tool2.exe
c:\Windows\tool3.exe
c:\Windows\tool4.exe
c:\Windows\tool5.exe
c:\Windows\toolbar.exe

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Herunterladen, entpacken und starten. Drücke 'Restore Original Hosts' und anschließend 'OK'.

Silentrunner (bitte das Ergebnis posten):
http://virus-protect.org/silentrunner.html

CounterSpy:
http://virus-protect.org/counterspy.html

Anschließend mache einen Scan mit eScanCheck und poste den Report (http://managor.de/escan.htm)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
07.12.2005, 18:07
...neu hier

Themenstarter

Beiträge: 4
#5

Zitat

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" ["Sun Microsystems, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"LXSUPMON" = "C:\WINDOWS\system32\LXSUPMON.EXE RUN" ["Lexmark International Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssflwbox.scr" [MS]


Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"PC-Bibliothek-Direktsuche" -> shortcut to: "C:\pc-bib\PCLib.exe" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]

{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]
StarWind iSCSI Service, StarWindService, "C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 17 seconds, including 4 seconds for message boxes)
PS: welche firewall und antivirus software kannst du empfehlen?
Dieser Beitrag wurde am 07.12.2005 um 18:16 Uhr von Christoph19 editiert.
Seitenanfang Seitenende
07.12.2005, 18:19
Member
Avatar Gool

Beiträge: 4730
#6 Firewall: Einen Router zwischen Internet und PC (Software-Firewalls sind Geschmacksache und nicht immer nützlich).

Virenscanner: G Data AntiVirenKit, Bitdefender, Kaspersky, Panda, F-Secure

So, jetzt noch SpySweeper (oder haste den schon angewendet?) und den eScanCheck-Report ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 07.12.2005 um 18:22 Uhr von Managor editiert.
Seitenanfang Seitenende
07.12.2005, 18:28
...neu hier

Themenstarter

Beiträge: 4
#7 So.
Hab Counterspy uns Spysweper durchlaufen lassen.
Dieser Beitrag wurde am 07.12.2005 um 20:40 Uhr von Christoph19 editiert.
Seitenanfang Seitenende
07.12.2005, 20:30
Member
Avatar Gool

Beiträge: 4730
#8 2: C:\WINDOWS\system32\RpcxSs.dll => Backdoor.Win32.Agent.qs
3: C:\!Submit\bnmsrv.exe => Backdoor.Win32.Agent.qs
4: C:\!Submit\kl.exe => Trojan-Downloader.Win32.Small.byf
5: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-15599ffc-46ec4cd0.class => Trojan.Java.ClassLoader.c
6: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-44eba5ec-6e4bd323.class => Trojan.Java.ClassLoader.Dummy.d
7: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-3cfa0102-6f939961.class => Exploit.Java.Bytverify
8: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-28679adb-25e05665.zip => Trojan-Downloader.Java.OpenConnection.aj
9: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-bae16f0-2944b6eb.zip => Trojan-Downloader.Java.OpenConnection.aj
10: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv661.jar-255146ea-3e1f3c8e.zip => Trojan-Downloader.Java.OpenStream.c
11: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv661.jar-897c2ff-15950236.zip => Trojan-Downloader.Java.OpenStream.c
12: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\tool2.exe => Trojan-Clicker.Win32.Spywad.k

Diese Dateien von eScanCheck löschen lassen.

Vorher jedoch die Systemwiederherstellung deaktivieren.
Systemsteuerung -> System -> Systemwiederherstellung

Das Problem ist größer als ich befürchtet hatte. Am sinnvollsten wäre es, zu formatieren.
Ich schätze, Du hast Dir das über eMule zugezogen (und Du solltest die Einträge aus Deinem Posting rauseditieren, bevor der falsche sieht, was Du Dir runterlädst). Ich empfehle Dir jedenfalls, wenn Du kein Geld für einen Virenscanner ausgeben möchtest, AntiVir zu benutzen (das ist nämlich kostenlos: http://free-av.de)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: