trojanisches Programm Backdoor.Win32.SdBot.rb gefunden(Log Auswertungen)

#1 Guten Abend,

soooo,hier mal die geforderten logs.ich hoffe ihr könnt mir weiterhelfen,den trojaner kimplett unschädlich zu machen.

zu den aufgetretenen Problemen kann ich nur folgendes sagen:

-komische Pop-up´s öffnen sich,wenn ich eine seite aufmache.darin steht das die seite fehlerhaft ist,was eigentlich nicht der fall ist.

-das sytem scheint mir etwas verlangsamt zu sein.

-DFÜ-berbindung pop automatisch auf.

mehr propleme sind mir bisher noch nicht aufgefallen.werd euch aber auf dem laufenden halten,falls mir was auffallen sollte.

in dem dateianhang befinden sich die geforderten logs.


vielen dank..;-)))




ogfile of HijackThis v1.99.1
Scan saved at 21:40, on 2007-06-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\gearsec.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe
C:\WINDOWS\system32\SLEE503.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\held\Desktop\hijackthis\HijackThis.exe

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DriveCrypt Startup] C:\Programme\DriveCrypt\DriveCrypt.exe /WS
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171132590671
O17 - HKLM\System\CCS\Services\Tcpip\..\{20B0A9D9-AE72-4951-97E5-05CE69B75BA1}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{20B0A9D9-AE72-4951-97E5-05CE69B75BA1}: NameServer = 217.237.150.115 217.237.151.205
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

.
.
Bitte nur die Eintraege der letzten 3 Monate posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C94-2088

Verzeichnis von C:\WINDOWS\system32

11.06.2007 16:49 2.206 wpa.dbl
07.06.2007 19:48 86.016 ElbyCDIO.dll
26.05.2007 00:34 34.308 BASSMOD.dll
19.05.2007 22:37 206.352 klogon.dll
27.04.2007 22:45 14.970.328 MRT.exe
18.04.2007 18:13 2.854.400 msi.dll
12.04.2007 01:58 410.126 perfh009.dat
12.04.2007 01:58 66.280 perfc009.dat
12.04.2007 01:58 427.754 perfh007.dat
12.04.2007 01:58 80.856 perfc007.dat
12.04.2007 01:58 997.762 PerfStringBackup.INI
11.04.2007 23:39 0 REN41.tmp
11.04.2007 23:39 4.333 jupdate-1.6.0_01-b06.log
06.04.2007 22:48 427.968 FNTCACHE.DAT
04.04.2007 15:10 0 SBRC.dat
04.04.2007 15:10 0 SBFC.dat
03.04.2007 02:31 0 pavjob.log
02.04.2007 14:21 428.032 swreg.exe
01.04.2007 15:19 1.282.638 l8gi7996RX.ini
17.03.2007 15:44 293.376 winsrv.dll
14.03.2007 02:04 69.632 javacpl.cpl
14.03.2007 00:31 135.168 javaw.exe
14.03.2007 00:31 135.168 java.exe
09.03.2007 12:24 123.392 xpsp3res.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:32 1.843.712 win32k.sys

.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C94-2088

Verzeichnis von C:\WINDOWS\temp

18.06.2007 22:05 217.088 JETEEBB.tmp
1 Datei(en) 217.088 Bytes
0 Verzeichnis(se), 880.541.696 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C94-2088

Verzeichnis von C:\WINDOWS\Downloaded Program Files

30.04.2007 17:02 2.534.824 DynaGeoViewer.ocx

8 Datei(en) 2.661.420 Bytes
0 Verzeichnis(se), 880.541.696 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C94-2088

Verzeichnis von C:\WINDOWS\system32

03.04.2007 03:10 10.752 BASSMOD.dll
03.04.2007 02:31 0 pavjob.log
01.04.2007 15:19 1.282.638 l8gi7996RX.ini
01.04.2007 14:08 429.560 FNTCACHE.DAT
25.03.2007 13:23 410.126 perfh009.dat
25.03.2007 13:23 66.280 perfc009.dat
25.03.2007 13:23 427.754 perfh007.dat
25.03.2007 13:23 80.856 perfc007.dat
25.03.2007 13:23 997.762 PerfStringBackup.INI
18.03.2007 15:25 2.206 wpa.dbl
07.03.2007 22:36 12.619.736 MRT.exe


ComboFix 07-06-13.3 - CScript-Fehler: Der Zugriff auf Windows Script Host wurde f�r diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen.
- 2007-06-18 21:52:55 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NM
-------\nm


((((((((((((((((((((((((( Files Created from 2007-05-18 to 2007-06-18 )))))))))))))))))))))))))))))))


2007-06-18 21:38 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-18 17:34 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-06-17 21:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecurStar
2007-06-17 21:10 233,768 --a------ C:\WINDOWS\system32\drivers\DCR.sys
2007-06-17 21:09 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
007-06-11 21:58 <DIR> d-------- C:\Programme\Messenger Plus! Live
2007-06-07 19:48 86,016 --a------ C:\WINDOWS\system32\ElbyCDIO.dll
2007-05-29 20:50 <DIR> d-------- C:\DOKUME~1\held\ANWEND~1\DynaGeo
2007-05-29 00:28 <DIR> d-------- C:\Downloads
2007-05-28 23:33 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-05-25 23:33 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-05-25 23:33 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-05-25 23:24 152,608 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-05-25 23:24 11,934,752 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-05-25 23:02 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab Setup Files
2007-05-25 11:25 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Eigene Dateien
2007-05-19 22:37 206,352 --a------ C:\WINDOWS\system32\klogon.dll
2007-05-19 22:36 22,354 --a------ C:\WINDOWS\system32\drivers\klop.dat


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-17 18:16:10 -------- d-----w C:\Programme\Bluetack
2007-06-11 19:58:42 -------- d-----w C:\Programme\MSN Messenger
2007-06-05 19:24:03 167,936 ------w C:\WINDOWS\Setup1.exe
2007-06-05 19:23:55 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-05-25 21:31:22 -------- d-----w C:\Programme\Kaspersky Lab
2007-05-13 19:01:34 -------- d-----w C:\Programme\Winamp
2007-05-09 11:36:08 -------- d-----w C:\Programme\K-Lite Codec Pack
2007-05-09 11:32:35 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-04-29 22:27:12 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-04-28 14:51:02 110,360 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2007-04-26 10:59:08 -------- d-----w C:\Programme\PowerISO
2007-04-25 22:48:49 -------- d-----w C:\Programme\Gemeinsame Dateien\Agnitum Shared
2007-04-25 22:48:47 -------- d-----w C:\Programme\Agnitum
2007-04-23 23:18:29 -------- d-----w C:\Programme\TuneUp Utilities 2006
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-11 23:58:58 80,856 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-04-11 23:58:58 427,754 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-04-11 21:41:27 3,121 ----a-w C:\WINDOWS\mozver.dat
2007-04-10 18:01:48 666,624 ----a-w C:\WINDOWS\is-TL0U8.exe
2007-04-10 17:56:14 666,624 ----a-w C:\WINDOWS\is-O8NBD.exe
2007-04-10 17:50:13 675,840 ----a-w C:\WINDOWS\is-51C33.exe
2007-04-04 13:10:21 0 ----a-w C:\WINDOWS\system32\SBRC.dat
2007-04-04 13:10:21 0 ----a-w C:\WINDOWS\system32\SBFC.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670}=C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2005-11-22 14:46]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 20:38]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{AE7CD045-E861-484f-8273-0445EE161910}=C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 03:13]
{E24AD748-155E-4254-B674-4EDF86E7E1DF}=C:\Programme\Acronis\PrivacyExpert\Blocker.dll [2005-12-06 20:58]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2002-12-20 07:07 C:\WINDOWS\AGRSMMSG.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-03-27 10:34 C:\WINDOWS\soundman.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-12-06 20:58]
"Outpost Firewall"="C:\Programme\Agnitum\Outpost Firewall\outpost.exe" [2006-02-03 17:08]
"OutpostFeedBack"="C:\Programme\Agnitum\Outpost Firewall\feedback.exe" [2006-02-10 18:38]
"PWRISOVM.EXE"="C:\Programme\PowerISO\PWRISOVM.EXE" [2007-04-09 14:23]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-02-10 20:34]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-05-19 22:36]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2006-07-29 20:33]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0 relog_ap
Notification Packages :\WINDOWS\SYSTE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"WinampAgent"="C:\Programme\Winamp\winampa.exe"
"OutpostFeedBack"=C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Usnsvc usnsvc


Contents of the 'Scheduled Tasks' folder
2007-05-18 15:19:51 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-18 22:02:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

Completion time: 2007-06-18 22:09:50 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-18 22:09

--- E O F ---

#2 Hi,

ich kann nichts auffälliges finden...
Das was da war / ist zeigt das hier:
01.04.2007 15:19 1.282.638 l8gi7996RX.ini
Eine Ini ist niemals dermaßen groß...

Lasse das hier mal online prüfen:
BASSMOD.dll
(eventuell:http://www.sophos.de/security/analyses/warezmusic.html)

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\BASSMOD.dll

Scanne dann mit
scanne mit sophos und poste den scanreport
http://virus-protect.org/multiavtool.html

Und wegen Rootkits mit Blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html

Poste alle Logs, auch die vom Onlinescann...

Chris

#3 hi,


aaalso,der link http://virus-protect.org/multiavtool.html geht leider nicht:-(

hier mal der log von der auswertung der bassmod.dll datei:

Antivirus Version Update Result
AhnLab-V3 2007.6.16.0 06.19.2007 no virus found
AntiVir 7.4.0.34 06.19.2007 no virus found
Authentium 4.93.8 06.19.2007 no virus found
Avast 4.7.997.0 06.19.2007 no virus found
AVG 7.5.0.467 06.19.2007 no virus found
BitDefender 7.2 06.19.2007 no virus found
CAT-QuickHeal 9.00 06.19.2007 no virus found
ClamAV devel-20070416 06.19.2007 no virus found
DrWeb 4.33 06.19.2007 no virus found
eSafe 7.0.15.0 06.19.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3727 06.19.2007 no virus found
Ewido 4.0 06.19.2007 no virus found
FileAdvisor 1 06.19.2007 High Thread detected
Fortinet 2.91.0.0 06.19.2007 no virus found
F-Prot 4.3.2.48 06.19.2007 no virus found
F-Secure 6.70.13030.0 06.19.2007 no virus found
Ikarus T3.1.1.8 06.19.2007 no virus found
Kaspersky 4.0.2.24 06.19.2007 no virus found
McAfee 5056 06.19.2007 no virus found
Microsoft 1.2607 06.19.2007 no virus found
NOD32v2 2339 06.19.2007 no virus found
Norman 5.80.02 06.19.2007 no virus found
Panda 9.0.0.4 06.19.2007 no virus found
Prevx1 V2 06.19.2007 no virus found
Sophos 4.18.0 06.12.2007 no virus found
Sunbelt 2.2.907.0 06.16.2007 VIPRE.Suspicious
Symantec 10 06.19.2007 no virus found
TheHacker 6.1.6.134 06.18.2007 no virus found
VBA32 3.12.0.2 06.19.2007 no virus found
VirusBuster 4.3.23:9 06.19.2007 no virus found
Webwasher-Gateway 6.0.1 06.19.2007 Win32.Malware.gen (suspicious)


was soll ich denn jetzt mit der 1.282.638 l8gi7996RX.ini datei machen??vorallem hat der viruscanner ja einige trojaner in quaratäne gesetzt(s. log).hab den virenscanner aber wieder deinstalliert.sind die trojaner trozdem unschädlich???

blacklight hat auf jeden fall nichts gefunden.
lg,hellsy

#4 Hi,

ja die Viren sind in Quarantäne, d. h. Du kannst sie löschen.
Die INI-Datei würde ich im abgesicherten Modus umbenennen .ini auf .vir,
normal Booten und wenn es keine weiteren Probleme gibt ebenfalls löschen.

Scanne it Cureit:
http://freedrweb.com/?lng=de
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!

Und wegen Rootkits mit Blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html

Poste beide Reports,

Chris

#5 guten morgen,

ich hab über nacht nochmal meinen eigenen virenscanner drüber laufen und er hat folgende viren gefunden:

trojanisches Programm Trojan-PSW.Win32.LdPinch.bvy
Datei: C:\System Volume information\_restore{E9301757-BA49-40EA-B04F-F42965130B50}\RP352\A0468975.exe

potentiell gefährliche Software not-a-virus:AdTool.Win32.MyWebSearch Datei: C:\System Volume Information\_restore{E9301757-BA49-40EA-B04F-F42965130B50}\RP352\A0468992.exe/Toolbar.exe


konnte die dateien aber nicht finden bzw nicht in quarantäne setzen.werd jetzt nochmal mit cureit drüber scannen und dann können wir ja sehen wie wir weiter vorgehen.

ach ja,wie komm ich denn an die .ini datei??über die "suche" liegen keine ergebnisse vor:-(

bis später!

#6 Hi,

die haben sich in der Systemwiederherstellunge eingenistet,
das bereinigen wir als letztes (durch einfaches ein-/ausschalten der
Systemwiederherstellung)...

Chris

#7 hallo chris,


cureit hat nichts gefunden.hab aber nicht im abgesicherten modus gescannt,ich hoffe das ist nicht weiter tragisch.die systemwiederherstellung habe ich an und wieder ausgeschaltet.ist denn jetzt alles behoben??

wie sieht es denn mit dem 2 trojanern aus,die kapersky noch gefunden hat.sind die den jetzt ausser kraft gesetzt??

lg,hells

#8 Hi,

ja die lagen im Systemrestore und müssten jetzt ebenfalls weg sein.
Mache noch einmal ein HJ-Log, nenne die Hj-Exe auf test.com um.

Was macht der Rechner bzw. die Symptome?

Du solltest noch Blacklight drüber laufen lassen...

Diese Datei ist mir noch aufgefallen:
C:\WINDOWS\is-O8NBD.exe

Bitte virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\is-O8NBD.exe

Poste die Logs...

Chris

#9 ich hab schon mal mit blacklight drüber gescannt(s.oben).es wurden keine rootkits gefunden.ich kann aber gerne nochmal drüber scannen,vieleicht hat sich ja bis dahin noch einiges getan)

virustotal schein wohl überlastet zu sein.ich soll es spätzer nochmal probieren.ich werd dir dann das ergebnis posten

zu den symptomen:

mir ist aufgefallen,dass meine DFÜ-verbindung einfach so aufpopt.vorallem nicht immer die gleiche,sondern eine die ich noch benutzt habe(vom aussehen her).wer weiß woran das liegt;-((


Logfile of HijackThis v1.99.1
Scan saved at 16:27:43, on 21.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\gearsec.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe
C:\WINDOWS\system32\SLEE503.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\Dokumente und Einstellungen\held\Desktop\hijackthis\test.com

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171132590671
O17 - HKLM\System\CCS\Services\Tcpip\..\{20B0A9D9-AE72-4951-97E5-05CE69B75BA1}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{20B0A9D9-AE72-4951-97E5-05CE69B75BA1}: NameServer = 217.237.150.115 217.237.151.205
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

soo...bin bei virustotal durchgekommen.hier ist das ergebnis:

AhnLab-V3 2007.6.21.1 06.21.2007 no virus found
AntiVir 7.4.0.34 06.21.2007 no virus found
Authentium 4.93.8 06.21.2007 no virus found
Avast 4.7.997.0 06.21.2007 no virus found
AVG 7.5.0.467 06.20.2007 no virus found
BitDefender 7.2 06.21.2007 no virus found
CAT-QuickHeal 9.00 06.21.2007 no virus found
ClamAV devel-20070416 06.21.2007 no virus found
DrWeb 4.33 06.21.2007 no virus found
eSafe 7.0.15.0 06.20.2007 no virus found
eTrust-Vet 30.8.3731 06.21.2007 no virus found
Ewido 4.0 06.21.2007 no virus found
FileAdvisor 1 06.21.2007 no virus found
Fortinet 2.91.0.0 06.21.2007 no virus found
F-Prot 4.3.2.48 06.21.2007 no virus found

#10 Hi,

das HJ-Log sieht jetzt gut aus, lass die Datei noch untersuchen...
Was meldet die Firewall wer da gerne nachhausetelefonieren will?

chris

#11 ja...hab ich gerade gemacht(s.oben)

meine firewall meldet nichts.vieleicht hat sich da ja einer schon den weg freigeschaufelt.aber da kennst du dich dabestimmt besser aus

#12 Hmm,

dann holen wir uns nochmal erweiterte Infos von Deinem Rechner...

combo-Scan
- Systeminformationen
- Installierte Programme
- New Files created
- Autostart entries
http://virus-protect.org/artikel/tools/comboscan.html

Dann wird es langsam eng.. (mit dem finden)...

Chris

Ps.: Kannst Du mir mal einen Screenshot des DFÜ-Fenster geben (Druck-Taste und dann per "Einfügen" in paint und dort als JPG speichern...

Es kann natürlich sein, das ein Autoupdater versucht die Verbindung auf zubauen (z. B. AVP, Versuche in diesem Fall über TCPView einen Bericht zu erstellen [ http://www.microsoft.com/germany/technet/sysinternals/utilities/TcpView.mspx ])...

#13 hallo chris,

im anhang befindet sich ein jpeg von der besagten dfü-verbindung.

der link zu der der comboscan-datei funktioniert leider nicht

lg

#14 alg.exe:3308 TCP design-t4keq99u:1027 design-t4keq99u:0 LISTENING
avp.exe:1820 TCP design-t4keq99u:1110 design-t4keq99u:0 LISTENING
lsass.exe:1384 UDP design-t4keq99u:isakmp *:*
lsass.exe:1384 UDP design-t4keq99u:4500 *:*
msnmsgr.exe:1164 UDP design-t4keq99u:1025 *:*
msnmsgr.exe:1164 UDP design-t4keq99u:8789 *:*
outpost.exe:2040 TCP design-t4keq99u:803 design-t4keq99u:0 LISTENING
StarWindService.exe:960 TCP design-t4keq99u:3260 design-t4keq99u:0 LISTENING
StarWindService.exe:960 TCP design-t4keq99u:3261 design-t4keq99u:0 LISTENING
svchost.exe:1632 TCP design-t4keq99u:epmap design-t4keq99u:0 LISTENING
svchost.exe:1792 UDP design-t4keq99u:1028 *:*
svchost.exe:1792 UDP design-t4keq99u:1029 *:*
System:4 TCP design-t4keq99u:microsoft-ds design-t4keq99u:0 LISTENING
System:4 TCP design-t4keq99u:netbios-ssn design-t4keq99u:0 LISTENING
System:4 UDP design-t4keq99u:microsoft-ds *:*
System:4 UDP design-t4keq99u:netbios-dgm *:*
System:4 UDP design-t4keq99u:netbios-ns *:*