Internet Fehler wegen svchost.exe

#1 Hallo,

wieder mal das leidige Problem mit der svchost.exe.
Nach kurzer Zeit verabschiedet sich das Internet mit "svchost.exe Fehler in Anwendung"
Das Problem wurde zwar schon des Öfteren diskutiert, aber ich kann da keine Gemeinsamkeit erkennen,
deshalb hier meine Daten.

Windows XP, SP2.


Logfile of HijackThis v1.99.1
Scan saved at 21:54:55, on 12.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\wtmwd.exe
C:\WINDOWS\wtmkernel.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Wc32\WINCMD32.EXE
c:\Work\Virus_Help\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe,wtmwd.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [0 - wtm] wtmkernel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D33BAC76-FDC0-4789-938A-4F38999CBE78}: NameServer = 213.20.249.35 193.189.244.205
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe

CleanUp durchgeführt

ComboFix Scan-Report
Start Time= 11.09.2006 18:44:49,52
Running from: c:\Work\Virus_Help

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-10 17:36:38 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-09-10 17:30:40 ( .D... ) "C:\Programme\CleanUp!"
2006-08-06 13:22:24 ( .D... ) "C:\Programme\AntiVir PersonalEdition Classic"
2006-08-06 12:26:06 ( .D... ) "C:\Programme\Picasa2"
2006-07-25 08:17:24 ( .D... ) "C:\Dokumente und Einstellungen\Oliver.DIDELDUM\Anwendungsdaten\AdobeUM"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-06 13:22 57.344 C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"0 - wtm"="wtmkernel.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableTaskMgr REG_DWORD 0 (0x0)
DisableRegistryTools REG_DWORD 0 (0x0)



Contents of the 'Scheduled Tasks' folder

Completion time: 11.09.2006 18:48:08,05
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt



DatFind LogFiles

System32
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 143C-6A3A

Verzeichnis von C:\WINDOWS\system32

11.09.2006 21:14 2.418 ikhcore.log
10.09.2006 10:47 2.206 wpa.dbl
26.03.2006 21:21 391.894 perfh009.dat
26.03.2006 21:21 57.876 perfc009.dat
26.03.2006 21:21 402.046 perfh007.dat
26.03.2006 21:21 68.440 perfc007.dat
26.03.2006 21:21 931.326 PerfStringBackup.INI
04.02.2006 14:01 2.785 qtplugin.log
27.01.2006 22:12 176.167 rmoc3260.dll
27.01.2006 22:12 5.632 pndx5032.dll
27.01.2006 22:12 6.656 pndx5016.dll
27.01.2006 22:12 278.528 pncrt.dll
18.01.2006 14:05 57.344 avsda.dll
06.01.2006 18:34 3.596.288 qt-dx331.dll
06.01.2006 18:34 3.136 dtu_de.qm
29.12.2005 22:22 111.784 FNTCACHE.DAT
19.12.2005 14:19 1.919 AUTOEXEC.NT
08.12.2005 17:25 2.723.680 MRT.exe
11.08.2004 02:45 1.181.944 wmvadvd.dll
11.08.2004 02:45 871.160 wmvdmod.dll
11.08.2004 02:45 531.192 wmspdmod.dll
11.08.2004 02:45 773.368 wmsdmod.dll
11.08.2004 02:45 380.144 wmadmod.dll
04.08.2004 01:12 1.788 dcache.bin
04.08.2004 01:00 333.312 netsetup.exe

edit

#2 da ist ein Wurm auf dem Rechner....

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\wtmkernel.exe
C:\WINDOWS\wtmwd.exe

poste die reporte
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

leider hat das nicht das erwartete Ergebnis gebracht.
Die beiden Files gehören zu dem Kindersicherungsprogramm "Wintimer".
Ich konnte übrigens den Test nicht vom befallenen Rechner (zuhause) aus aufrufen, da dieser sich nach ca. 1 Minute aus dem Internet verabschiedet.
Habe dann die Dateien auf den Stick geschoben und den Test von der Arbeit aus durchgeführt.
Hoffentlich muß ich den Rechner nicht neu aufsetzen. Wüßte auf jeden Fall gerne vorher, was die Ursache war.

Vielen Dank für deine Mühe
Sundro




STATUS: FINISHEDComplete scanning result of "wtmkernel.exe", received in VirusTotal at 09.14.2006, 07:31:32 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.13.2006 no virus found
Authentium 4.93.8 09.13.2006 no virus found
Avast 4.7.844.0 09.13.2006 no virus found
AVG 386 09.13.2006 no virus found
BitDefender 7.2 09.14.2006 no virus found
CAT-QuickHeal 8.00 09.13.2006 no virus found
ClamAV devel-20060426 09.13.2006 no virus found
DrWeb 4.33 09.13.2006 no virus found
eTrust-InoculateIT 23.72.124 09.14.2006 no virus found
eTrust-Vet 30.3.3076 09.13.2006 no virus found
Ewido 4.0 09.13.2006 no virus found
Fortinet 2.82.0.0 09.13.2006 no virus found
F-Prot 3.16f 09.13.2006 no virus found
F-Prot4 4.2.1.29 09.13.2006 no virus found
Ikarus 0.2.65.0 09.13.2006 no virus found
Kaspersky 4.0.2.24 09.14.2006 no virus found
McAfee 4851 09.13.2006 no virus found
Microsoft 1.1560 09.14.2006 no virus found
NOD32v2 1.1755 09.13.2006 no virus found
Norman 5.90.23 09.13.2006 no virus found
Panda 9.0.0.4 09.13.2006 no virus found
Sophos 4.09.0 09.14.2006 no virus found
Symantec 8.0 09.14.2006 no virus found
TheHacker 5.9.8.211 09.14.2006 no virus found
UNA 1.83 09.13.2006 no virus found
VBA32 3.11.1 09.13.2006 no virus found
VirusBuster 4.3.7:9 09.13.2006 no virus found


Aditional Information
File size: 290816 bytes
MD5: 56631e275b549c3d3ae178e0193b07fe
SHA1: b595af190c471f5d041f52687dd35b39f99f450a


STATUS: FINISHEDComplete scanning result of "wtmwd.exe", received in VirusTotal at 09.14.2006, 07:37:34 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.13.2006 no virus found
Authentium 4.93.8 09.13.2006 no virus found
Avast 4.7.844.0 09.13.2006 no virus found
AVG 386 09.13.2006 no virus found
BitDefender 7.2 09.14.2006 no virus found
CAT-QuickHeal 8.00 09.13.2006 no virus found
ClamAV devel-20060426 09.13.2006 no virus found
DrWeb 4.33 09.13.2006 no virus found
eTrust-InoculateIT 23.72.124 09.14.2006 no virus found
eTrust-Vet 30.3.3076 09.13.2006 no virus found
Ewido 4.0 09.13.2006 no virus found
Fortinet 2.82.0.0 09.13.2006 no virus found
F-Prot 3.16f 09.13.2006 no virus found
F-Prot4 4.2.1.29 09.13.2006 no virus found
Ikarus 0.2.65.0 09.13.2006 no virus found
Kaspersky 4.0.2.24 09.14.2006 no virus found
McAfee 4851 09.13.2006 no virus found
Microsoft 1.1560 09.14.2006 no virus found
NOD32v2 1.1755 09.13.2006 no virus found
Norman 5.90.23 09.13.2006 no virus found
Panda 9.0.0.4 09.13.2006 no virus found
Sophos 4.09.0 09.14.2006 no virus found
Symantec 8.0 09.14.2006 no virus found
TheHacker 5.9.8.211 09.14.2006 no virus found
UNA 1.83 09.13.2006 no virus found
VBA32 3.11.1 09.13.2006 no virus found
VirusBuster 4.3.7:9 09.13.2006 no virus found


Aditional Information
File size: 40960 bytes
MD5: 73c479d214fd5c9acb889e19eb6bdd09
SHA1: da690f9ea58b7a9ce9fdb1a4659f94ab22f68fcb

#4 C:\Programme\Wc32\WINCMD32.EXE - WindowsCommander ???

------------------------------------------------------------

Windows Worms Doors Cleaner anwenden, alles auf gruen stellen
http://virus-protect.org/windsdoorcleaner.html

poste das log von winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

WINCMD32.EXE ist WindowsCommander.

Nach dem Sperren der Ports kann ich problemlos ins Internet gehen (20 min)

Hier der winpfind Log:

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows sometimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Logfile created on: 14.09.2006 19:48:52
WinPFind v1.5.0 Folder = c:\Work\Virus_Help\WinPFind\WinPFind\
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600)
Internet Explorer (Version = 6.0.2900.2180)

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 19.03.2003 05:05:48 2052096 C:\WINDOWS\SYSTEM32\atl71.pdb ()
PEC2 23.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc ()
PEC2 19.03.2003 07:20:00 10357760 C:\WINDOWS\SYSTEM32\mfc71.pdb ()
PEC2 19.03.2003 06:28:40 8252416 C:\WINDOWS\SYSTEM32\MFC71d.pdb ()
PEC2 19.03.2003 07:12:12 10333184 C:\WINDOWS\SYSTEM32\mfc71u.pdb ()
PEC2 19.03.2003 06:31:58 8293376 C:\WINDOWS\SYSTEM32\mfc71ud.pdb ()
PECompact2 08.12.2005 17:25:42 2723680 C:\WINDOWS\SYSTEM32\MRT.exe (Microsoft Corporation)
aspack 08.12.2005 17:25:42 2723680 C:\WINDOWS\SYSTEM32\MRT.exe (Microsoft Corporation)
WSUD 04.08.2004 00:58:08 1228800 C:\WINDOWS\SYSTEM32\ntbackup.exe (Microsoft Corporation)
aspack 04.08.2004 00:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll (Microsoft Corporation)
WSUD 04.08.2004 00:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation)
Umonitor 04.08.2004 00:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll (Microsoft Corporation)
winsync 23.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu ()
Umonitor 29.08.2002 03:43:28 660480 C:\WINDOWS\SYSTEM32\_003625_.tmp.dll (Microsoft Corporation)

Checking %System%\Drivers folder and sub-folders...
PTech 03.08.2004 22:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys (Smart Link)

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
14.09.2006 19:45:34 S 2048 C:\WINDOWS\bootstat.dat ()
11.09.2006 21:45:08 H 54156 C:\WINDOWS\QTFont.qfn ()
14.09.2006 19:47:58 H 1024 C:\WINDOWS\system32\config\default.LOG ()
14.09.2006 19:45:56 H 1024 C:\WINDOWS\system32\config\SAM.LOG ()
14.09.2006 19:55:48 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG ()
14.09.2006 19:59:06 H 155648 C:\WINDOWS\system32\config\software.LOG ()
14.09.2006 19:48:32 H 1024 C:\WINDOWS\system32\config\system.LOG ()
14.09.2006 19:45:38 H 6 C:\WINDOWS\Tasks\SA.DAT ()

Checking for CPL files...
04.08.2004 00:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl (Microsoft Corporation)
04.08.2004 00:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl (Microsoft Corporation)
04.08.2004 00:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl (Microsoft Corporation)
04.08.2004 00:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl (Microsoft Corporation)
04.08.2004 00:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl (Microsoft Corporation)
04.08.2004 00:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl (Microsoft Corporation)
04.08.2004 00:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl (Microsoft Corporation)
04.08.2004 00:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl (Microsoft Corporation)
04.08.2004 00:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl (Microsoft Corporation)
04.08.2004 00:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl (Microsoft Corporation)
23.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl (Microsoft Corporation)
04.08.2004 00:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl (Microsoft Corporation)
23.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl (Microsoft Corporation)
04.08.2004 00:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl (Microsoft Corporation)
04.08.2004 00:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation)
23.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl (Microsoft Corporation)
04.08.2004 00:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl (Microsoft Corporation)
04.08.2004 00:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl (Microsoft Corporation)
03.08.2002 01:31:00 297984 C:\WINDOWS\SYSTEM32\QuickTime.cpl (Apple Computer, Inc.)
04.08.2004 00:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl (Microsoft Corporation)
23.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl (Microsoft Corporation)
04.08.2004 00:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl (Microsoft Corporation)
04.08.2004 00:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl (Microsoft Corporation)
04.08.2004 00:58:24 162816 C:\WINDOWS\SYSTEM32\wuaucpl.cpl (Microsoft Corporation)
23.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl (Microsoft Corporation)
23.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl (Microsoft Corporation)
23.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl (Microsoft Corporation)
23.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl (Microsoft Corporation)

Checking for Downloaded Program Files...
DirectAnimation Java Classes - - CodeBase = file://C:\WINDOWS\Java\classes\dajava.cab
Microsoft XML Parser for Java - - CodeBase = file://C:\WINDOWS\Java\classes\xmldso.cab

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
12.12.2000 21:20:36 HS 84 C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\desktop.ini ()

Checking files in %ALLUSERSPROFILE%\Application Data folder...
04.05.2000 23:38:50 HS 62 C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\desktop.ini ()

Checking files in %USERPROFILE%\Startup folder...
12.12.2000 21:20:36 HS 84 C:\Dokumente und Einstellungen\Oliver.DIDELDUM\Startmenü\Programme\Autostart\desktop.ini ()

Checking files in %USERPROFILE%\Application Data folder...
04.05.2000 23:38:50 HS 62 C:\Dokumente und Einstellungen\Oliver.DIDELDUM\Anwendungsdaten\desktop.ini ()

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

>>> Internet Explorer Settings <<<


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
\\Start Page - http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
\\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Default_Page_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
\\Default_Search_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Local Page - %SystemRoot%\system32\blank.htm

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
\\Start Page - about:blank
\\Search Bar - http://google.icq.com/search/search_frame.php
\\Search Page - http://google.icq.com
\\Local Page - C:\WINDOWS\system32\blank.htm

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
\\CustomizeSearch - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
\\SearchAssistant - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
\\{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQ Toolbar = C:\Programme\ICQToolbar\toolbaru.dll (ICQ Inc.)

>>> BHO's <<<
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

>>> Internet Explorer Bars, Toolbars and Extensions <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
\{4D5C8C25-D075-11d0-B416-00C04FB90376} - &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation)

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
\{32683183-48a0-441b-a342-7c2a440a9478} - = ()

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
\\{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQ Toolbar = C:\Programme\ICQToolbar\toolbaru.dll (ICQ Inc.)

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
\ShellBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\WebBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383} - &Links = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} - ICQ Toolbar = C:\Programme\ICQToolbar\toolbaru.dll (ICQ Inc.)

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\CmdMapping]
\\{FB5F1910-F110-11d2-BB9E-00C04F795683} - 8192 = Windows Messenger
\\NEXTID - 8194
\\{B863453A-26C3-4e1f-A54D-A2CD196348E9} - 8193 = ICQ Lite

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
\{B863453A-26C3-4e1f-A54D-A2CD196348E9} - ButtonText: ICQ Lite = C:\Programme\ICQLite\ICQLite.exe (ICQ Ltd.)
\{FB5F1910-F110-11d2-BB9E-00C04F795683} - ButtonText: Messenger = C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)

>>> Approved Shell Extensions (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
\\{42071714-76d4-11d1-8b24-00a0c9068ff3} - CPL-Erweiterung für Anzeigeverschiebung = deskpan.dll ()
\\{764BF0E1-F219-11ce-972D-00AA00A14F56} - Shellerweiterungen für die Dateikomprimierung = ()
\\{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} - Kontextmenü für die Verschlüsselung = ()
\\{88895560-9AA2-1069-930E-00AA0030EBC8} - Erweiterung für HyperTerminal-Icons = C:\WINDOWS\System32\hticons.dll (Hilgraeve, Inc.)
\\{0DF44EAA-FF21-4412-828E-260A8728E7F1} - Taskleiste und Startmenü = ()
\\{32683183-48a0-441b-a342-7c2a440a9478} - Media Band = ()
\\{7A9D77BD-5403-11d2-8785-2E0420524153} - Benutzerkonten = ()
\\{E0D79304-84BE-11CE-9641-444553540000} - WinZip = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.)
\\{E0D79305-84BE-11CE-9641-444553540000} - WinZip = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.)
\\{E0D79306-84BE-11CE-9641-444553540000} - WinZip = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.)
\\{E0D79307-84BE-11CE-9641-444553540000} - WinZip = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.)
\\{42042206-2D85-11D3-8CFF-005004838597} - Microsoft Office HTML Icon Handler = ()
\\{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} - Shell Extensions for RealOne Player = C:\Programme\Real\RealPlayer\rpshell.dll (RealNetworks, Inc.)
\\{45AC2688-0253-4ED8-97DE-B5370FA7D48A} - Shell Extension for Malware scanning = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)
\\{73B24247-042E-4EF5-ADC2-42F62E6FD654} - ICQ Lite Shell Extension = C:\Programme\ICQLite\ICQLiteShell.dll ()

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]


>>> Context Menu Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers]
\ewido anti-spyware - {8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll (Anti-Malware Development a.s.)
\ICQLiteMenu - {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll ()
\Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)
\WinZip - {E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.)

[HKEY_LOCAL_MACHINE\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\Software\Classes\Directory\shellex\ContextMenuHandlers]
\ewido anti-spyware - {8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll (Anti-Malware Development a.s.)
\ICQLiteMenu - {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll ()
\WinZip - {E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.)

[HKEY_LOCAL_MACHINE\Software\Classes\Directory\BackGround\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\Software\Classes\Folder\shellex\ContextMenuHandlers]
\Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)
\WinZip - {E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.)

>>> Column Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
\{F9DB5320-233E-11D1-9F84-707F02C10627} - PDF Column Info = C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll (Adobe Systems, Inc.)

>>> Registry Run Keys <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
TkBellExe - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
0 - wtm - C:\WINDOWS\wtmkernel.exe (TSS-Productions)
avgnt - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe (H+BEDV Datentechnik GmbH)
KernelFaultCheck - ()

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE - C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)
MSMSGS - C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

>>> Startup Links <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Startup]
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\desktop.ini ()

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup]
C:\Dokumente und Einstellungen\Oliver.DIDELDUM\Startmenü\Programme\Autostart\desktop.ini ()

>>> MSConfig Disabled Items <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state

[All Users Startup Folder Disabled Items]

[Current User Startup Folder Disabled Items]

>>> User Agent Post Platform <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
\\SV1 -

>>> AppInit Dll's <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs]

>>> Image File Execution Options <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
\Your Image File Name Here without a path - Debugger = ntsd -d

>>> Shell Service Object Delay Load <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
\\PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\\CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\\WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll (Microsoft Corporation)
\\SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll (Microsoft Corporation)

>>> Shell Execute Hooks <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
\\{AEB6717E-7E19-11d0-97EE-00C04FD91972} - URL Exec Hook = shell32.dll (Microsoft Corporation)
\\{57B86673-276A-48B2-BAE7-C6DBB3020EB8} - CShellExecuteHookImpl Object = C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll (Anti-Malware Development a.s.)

>>> Shared Task Scheduler <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
\\{438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\\{8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)

>>> Winlogon <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
\\UserInit = C:\WINDOWS\system32\userinit.exe,
\\Shell = Explorer.exe,wtmwd.exe
\\System =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
\crypt32chain - crypt32.dll = (Microsoft Corporation)
\cryptnet - cryptnet.dll = (Microsoft Corporation)
\cscdll - cscdll.dll = (Microsoft Corporation)
\ScCertProp - wlnotify.dll = (Microsoft Corporation)
\Schedule - wlnotify.dll = (Microsoft Corporation)
\sclgntfy - sclgntfy.dll = (Microsoft Corporation)
\SensLogn - WlNotify.dll = (Microsoft Corporation)
\termsrv - wlnotify.dll = (Microsoft Corporation)
\wlballoon - wlnotify.dll = (Microsoft Corporation)

>>> DNS Name Servers <<<
{024451D5-724B-4392-8A6A-DF65A1852E77} - (Intel 8255x-basierter PCI-Ethernetadapter (10/100))
{27AE008E-D8D4-4085-A17B-50BE5E83AE13} - (Intel(R) PRO/100+ Management Adapter)
{ABD58EFB-943A-4B4A-82D7-4265CA5AC09B} - (Intel(R) PRO/100+ Management Adapter)

>>> All Winsock2 Catalogs <<<
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
\000000000001\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation)
\000000000002\\LibraryPath - %SystemRoot%\System32\winrnr.dll (Microsoft Corporation)
\000000000003\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries]
\000000000001\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000002\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000003\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000004\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation)
\000000000005\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation)
\000000000006\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000007\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000008\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000009\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000010\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000011\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000012\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000013\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000014\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000015\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000016\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000017\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000018\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000019\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)

>>> Protocol Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler]
\ipp - ()
\msdaipp - ()

>>> Protocol Filters (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter]

>>> Selected AddOn's <<<


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#6 es ist alles in Ordnung
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

Alles in Ordnung ? Das heißt du kannst im LOG nichts verdächtiges erkennen ?

Wenn ich jetzt die Ports wieder öffne geht das Problem doch wieder los ?
Was ist denn jetzt mit meinem Recher passiert ?
Hätte nicht die XP Firewall den Angriff abfangen müssen ?

Gruß und nochmal einen riesigen Dank für deine Hilfe
Sundro

#8 du darfst die ports nicht oeffnen - es ist ein Exploit, den die Technik von MS nicht abfaengt, deshalb sollst du die 4 ports mit Windows Worms Doors Cleaner schliessen
__________
MfG Sabina

rund um die PC-Sicherheit

#9 ...Liebe Sabina, hab zu dem Virust-burst noch ein zweites Problem: nach kurzer Zeit gehen immer wieder Fenster auf u. ein "Dialer" (heisst das?) versucht sich mit einer langen 80032xxxxxxTelefonnummer einzuwählen. Das blockiert dann den PC und das nervt natürlich, da ich von zu Hause aus mit meinem PC arbeite.
Wichtig für mich ist, dass das E-mail Programm einwandfrei funktioniert.
Immer ist irgendwas, obwohl ich die neue Panda-software gekauft u. installiert habe. UND man hat mir geraten den Spybot runterzuladen. Den habe ich mir gratis downgeloadet u. lass ihn oft durchlaufen. Leider beheben beide die Probleme nicht...
Würd mich freuen von Dir zu hören.
Vielen Dank im voraus

#10 Sarda

die Antwort ist hier (bitte nicht doppeltposten)
http://board.protecus.de/t25889.htm
__________
MfG Sabina

rund um die PC-Sicherheit