svchost.exe lahmt das System - Virenscanner wird immer beendet

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.10.2007, 09:46
Member

Beiträge: 13
#1 Hallo zusammen,

hoffe ihr könnt mir helfen. Hatte schon einiges versucht, bin mir aber nicht sicher.

Mein Avira Scan Guard wird beim Systemstart gestartet, dann aber sofort wieder beendet (Schirm geht wieder zu). Immer wenn ich den Guard starte, schließt er sich wieder.

Die Online-Analyse auf www.hijackthis.de sagt, dass ich SDBOT-XT in einer svchost.exe habe.

Das Tool SDBOT Search & Destroy sagt, dass es nur ein Hijacker ist, der mich auf Bezahlseiten leiten soll.

Der AVIRA Virenscanner findet nichts mehr, nachdem er zwei Files in Quaratäne verschoben hat.

Hier mal meine Logfiles

Combofix

ComboFix 07-10-12.4 - Standard Benutzer 2007-10-14 9:26:50.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.920 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Standard Benutzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-14 bis 2007-10-14 ))))))))))))))))))))))))))))))
.

2007-10-14 09:26 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-14 00:16 53,760 --a------ C:\WINDOWS\system32\zlib.dll
2007-10-13 16:44 <DIR> d-------- C:\WINDOWS\pss
2007-10-13 08:57 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-10-13 08:57 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-10-13 08:57 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-10-13 08:57 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-10-13 08:57 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-10-13 08:57 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-10-13 08:57 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-10-13 08:54 153,600 --a------ C:\WINDOWS\R.COM
2007-10-13 08:54 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-10-13 08:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-13 08:45 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-10-13 08:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-13 08:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-13 08:45 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-13 08:45 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-10-13 08:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-13 08:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2007-10-13 08:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sonic
2007-10-13 08:45 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-12 16:24 <DIR> d-------- C:\Dokumente und Einstellungen\Standard Benutzer\Anwendungsdaten\True Sword
2007-10-12 16:24 <DIR> d-------- C:\Dokumente und Einstellungen\Standard Benutzer\Anwendungsdaten\True Sword
2007-10-12 16:24 <DIR> d-------- C:\Dokumente und Einstellungen\Standard Benutzer\Anwendungsdaten\True Sword
2007-10-12 16:07 <DIR> d-------- C:\Programme\EsetOnlineScanner
2007-10-12 08:03 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-08 21:09 <DIR> d-------- C:\Programme\MSI
2007-10-08 21:09 477,696 --a------ C:\WINDOWS\system32\drivers\ZD1211BU.sys
2007-10-08 21:09 81,920 --a------ C:\WINDOWS\system32\ZDPN50.DLL
2007-10-08 21:09 31,744 --a------ C:\WINDOWS\system32\drivers\ZDPSp50a64.sys
2007-10-08 21:09 17,664 --a------ C:\WINDOWS\system32\drivers\ZDPSp50.sys
2007-10-08 17:25 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-10-08 17:25 21,504 --a------ C:\WINDOWS\system32\dllcache\hidserv.dll
2007-09-14 00:14 <DIR> d-------- C:\Programme\Index.dat Analyzer

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-08 19:09 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-10 20:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-09-09 20:26 --------- d-----w C:\Programme\iTunes
2007-09-09 20:26 --------- d-----w C:\Programme\iPod
2007-09-09 20:25 --------- d-----w C:\Programme\Apple Software Update
2007-09-09 16:47 --------- d-----w C:\Dokumente und Einstellungen\Standard Benutzer\Anwendungsdaten\Skype
2007-09-09 16:47 --------- d-----w C:\Dokumente und Einstellungen\Standard Benutzer\Anwendungsdaten\Skype
2007-09-09 16:47 --------- d-----w C:\Dokumente und Einstellungen\Standard Benutzer\Anwendungsdaten\Skype
2007-08-22 17:51 --------- d-----w C:\Dokumente und Einstellungen\Standard Benutzer\Anwendungsdaten\MyPhoneExplorer
2007-08-22 17:51 --------- d-----w C:\Dokumente und Einstellungen\Standard Benutzer\Anwendungsdaten\MyPhoneExplorer
2007-08-22 17:51 --------- d-----w C:\Dokumente und Einstellungen\Standard Benutzer\Anwendungsdaten\MyPhoneExplorer
2007-08-21 20:31 --------- d-----w C:\Programme\Everest
2007-08-18 22:44 --------- d-----w C:\Programme\xp-AntiSpy
2007-08-18 22:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-08-18 21:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CMUV
2007-08-14 21:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-08-14 21:07 --------- d-----w C:\Programme\Sony Ericsson
2007-08-14 20:44 8,704 ----a-w C:\WINDOWS\system32\drivers\ggsemc.sys
2007-08-14 19:50 --------- d-----w C:\Programme\MyPhoneExplorer
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-07 16:55]
"PWRMGRTR"="C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2007-06-18 01:16]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2004-09-23 12:41]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 09:11]
"TPHOTKEY"="C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2004-03-10 19:10]
"TrackPointSrv"="tp4serv.exe" [2003-11-13 12:12 C:\WINDOWS\system32\tp4serv.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 08:03]
"BLOG"="C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2007-06-18 01:16]
"IBMPRC"="C:\IBMTOOLS\UTILS\ibmprc.exe" [2004-03-19 12:12]
"Igfxhkcmd"="C:\WINDOWS\System32\hkcmd.exe" [2006-02-07 08:36]
"igfxpers"="C:\WINDOWS\System32\igfxpers.exe" [2006-02-07 08:40]
"igfxtray"="C:\WINDOWS\System32\igfxtray.exe" [2006-02-07 08:39]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 relog_ap
"Notification Packages"= scecli pwdmon

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys
R0 EFlashAssist;EFlashAssist;C:\WINDOWS\system32\drivers\EFlashAs.sys
R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R0 timounter;Acronis True Image Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 TPPWRIF;TPPWRIF;C:\WINDOWS\system32\drivers\Tppwrif.sys
R2 ibmfilter;ibmfilter;\??\C:\WINDOWS\System32\drivers\ibmfilter.sys
R2 tifsfilter;Acronis True Image FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
R3 Tp4Track;IBM PS/2 TrackPoint Driver;C:\WINDOWS\system32\DRIVERS\tp4track.sys
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys
S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys
S3 UDTTUSB;Twinhan - USB2 DVB-T adapter Driver;C:\WINDOWS\system32\Drivers\UDTT2DRV.sys
S3 ZD1211BU(MSI);MSI US54SE 802.11 b+g USB Stick(MSI);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E08D6D0A-C0D9-E3EB-E478-D900E25F10A0}]
C:\WINDOWS\system32\scvhost.exe
.
Inhalt des "geplante Tasks" Ordners
"2007-10-14 06:59:34 C:\WINDOWS\Tasks\PMTask.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-14 09:29:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-14 9:30:12
.
--- E O F ---


Dann der HJT Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:32:58, on 14.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\tp4serv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
E:\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [Igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - Global Startup: MSI US54SE 802.11 b+g USB Stick Utility.lnk.disabled
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182200568760
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 5680 bytes


Und jetzt noch der Log von Datfind.bat

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\system32

14.10.2007 08:59 109.248 MSWINSCK.OCX
14.10.2007 00:16 53.760 zlib.dll
12.10.2007 07:57 2.278 wpa.dbl
05.10.2007 10:07 279.552 swreg.exe
02.09.2007 20:34 265.416 FNTCACHE.DAT
18.08.2007 22:50 0 mapisvc.inf
08.08.2007 16:31 2.707.456 OnlineScanner.ocx
08.08.2007 16:30 19.456 OnlineScannerLang.dll
02.08.2007 18:11 253.952 OnlineScannerDLLA.dll
02.08.2007 18:11 241.664 OnlineScannerDLLW.dll
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
27.07.2007 15:49 225.355 lnod32apiW.dll
27.07.2007 15:49 196.683 lnod32apiA.dll
26.07.2007 21:46 108.144 CmdLineExt.dll
14.07.2007 23:42 181.736 rmoc3260.dll
14.07.2007 23:42 5.632 pndx5032.dll
14.07.2007 23:42 6.656 pndx5016.dll
14.07.2007 23:42 278.528 pncrt.dll
.
.
.
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\DOKUME~1\STANDA~1\LOKALE~1\Temp

14.10.2007 09:33 100.377 datfind.txt
14.10.2007 09:32 114.688 ~DF924D.tmp
2 Datei(en) 215.065 Bytes
0 Verzeichnis(se), 13.450.457.088 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS

14.10.2007 09:00 2.006.742 WindowsUpdate.log
14.10.2007 08:59 0 0.log
14.10.2007 08:59 159 wiadebug.log
14.10.2007 08:59 50 wiaservc.log
14.10.2007 08:59 54.156 QTFont.qfn
14.10.2007 08:59 2.048 bootstat.dat
14.10.2007 08:58 32.574 SchedLgU.Txt
13.10.2007 08:55 839 win.ini
13.10.2007 08:54 26 Lic.xxx
13.10.2007 08:53 216.362 ntbtlog.txt
12.10.2007 16:07 473.110 setupapi.log
12.10.2007 08:05 69.880 iis6.log
12.10.2007 08:05 157.127 comsetup.log
12.10.2007 08:05 95.586 ntdtcsetup.log
12.10.2007 08:05 181.242 tsoc.log
12.10.2007 08:05 1.393 imsins.log
12.10.2007 08:05 24.684 ocmsn.log
12.10.2007 08:05 7.705 KB933729.log
12.10.2007 08:05 240.173 ocgen.log
12.10.2007 08:05 22.637 msgsocm.log
12.10.2007 08:05 444.911 FaxSetup.log
12.10.2007 08:05 17.346 updspapi.log
08.10.2007 17:25 218.408 setupact.log
28.09.2007 09:06 135.168 catchme.exe
02.09.2007 20:44 1.355 imsins.BAK
02.09.2007 20:44 9.810 KB885250.log
31.08.2007 16:08 42.896 KB899587.log
31.08.2007 16:07 42.397 KB927779.log
31.08.2007 16:07 39.389 KB927802.log
31.08.2007 16:07 38.989 KB922819.log
31.08.2007 16:07 38.059 KB923414.log
31.08.2007 16:07 38.742 KB928255.log
31.08.2007 16:07 38.689 KB931784.log
31.08.2007 16:06 36.565 KB911927.log
31.08.2007 16:06 35.567 KB901017.log
31.08.2007 16:06 35.589 KB899591.log
31.08.2007 16:06 25.654 KB923723.log
31.08.2007 16:06 36.201 KB920685.log
31.08.2007 16:06 38.329 KB923980.log
31.08.2007 16:06 37.714 KB936021.log
31.08.2007 16:06 36.428 KB911562.log
31.08.2007 16:06 34.647 KB924667.log
31.08.2007 16:05 36.565 KB924270.log
31.08.2007 16:05 33.963 KB924496.log
31.08.2007 16:05 35.400 KB921503.log
31.08.2007 16:05 34.590 KB938829.log
31.08.2007 16:05 34.437 KB925902.log
31.08.2007 16:05 32.300 KB920670.log
31.08.2007 16:05 31.217 KB891781.log
31.08.2007 16:05 34.864 KB902400.log
31.08.2007 16:04 28.714 KB926436.log
31.08.2007 16:04 29.909 KB930178.log
31.08.2007 16:04 27.172 KB919007.log
31.08.2007 16:04 28.961 KB914388.log
31.08.2007 16:04 27.697 KB917344.log
31.08.2007 16:04 26.706 KB905414.log
31.08.2007 16:04 27.452 KB917953.log
31.08.2007 16:04 28.494 KB932168.log
31.08.2007 16:04 26.660 KB901214.log
31.08.2007 16:04 24.495 KB923191.log
31.08.2007 16:03 18.078 KB922582.log
31.08.2007 16:03 23.468 KB918118.log
31.08.2007 16:03 23.567 KB926255.log
31.08.2007 16:03 23.917 KB900725.log
31.08.2007 16:03 22.820 KB938127.log
31.08.2007 16:03 23.048 KB920213.log
31.08.2007 16:03 21.889 KB935840.log
31.08.2007 16:03 21.325 KB904706.log
31.08.2007 16:03 21.924 KB908531.log
31.08.2007 16:02 15.436 KB923689.log
31.08.2007 16:02 25.188 KB937143.log
31.08.2007 16:02 18.448 KB935839.log
31.08.2007 16:02 18.001 KB908519.log
31.08.2007 16:01 18.691 KB920683.log
31.08.2007 16:01 17.184 KB928843.log
14.08.2007 23:12 0 mngui.INI
14.08.2007 22:51 57.918 DPINST.LOG
14.08.2007 22:27 119.583 wmsetup.log
26.07.2007 21:46 124.632 DirectX.log
14.07.2007 23:44 24 cdplayer.ini
14.07.2007 23:43 1.549 mozver.dat
.
.
.
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: E860-A713

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.08.2007 18:20 1.864 OnlineScanner.inf
23.03.2007 12:17 1.292 erma.inf
10 Datei(en) 571.887 Bytes
0 Verzeichnis(se), 13.450.444.800 Bytes frei
.
.
.
Seitenanfang Seitenende
14.10.2007, 15:33
Moderator

Beiträge: 7805
#2 Das sieht nach dem einsatz von Combofix recht ordentlich aus. Du solltest einmal www.windowupdate.com besuchen und dein System auf den neusten Stand bringen. Nutze auch Acronis True image, wenn du es eh installiert hast... Auch koenntest du mal nach neuen Treiber fuer deine Hardware suchen(vieleicht werden dir welche auf windowsupdate angeboten)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.10.2007, 16:09
Member

Themenstarter

Beiträge: 13
#3 Danke Ralf,

meinst du ich kann jetzt wieder ruhig schlafen? Und es wurden keine Daten durch den Trojaner geklaut? Kann man das irgendwie nachvollziehen, was der Böses gemacht hat?
Seitenanfang Seitenende
14.10.2007, 16:13
Moderator

Beiträge: 7805
#4 Was die Malware nun gemacht hat, kann mann nicht sagen, aber man sollte vom "schlimmsten Fall" ausgehen.

Die Datei scvhost.exe befindet sich nun irgendwo im Ordner c:\qooboc\c\windows\system32\ sie wird wohl den Zusatz .ren haben. Du kannst diese Datei bei Jotti oder Virustotal testen lassen. Schreib, was gemeldet wurde...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.10.2007, 16:25
Member

Themenstarter

Beiträge: 13
#5 ok, ich lass die Dateien aus der Quarantäne gerade checken und gebe dann bescheid.

Es sind folgende Dateien

REGEDIT.COM.vir

und im Unterverzeichnis /system32

svchost.exe.vir
TASKMGR.COM.vir
Seitenanfang Seitenende
14.10.2007, 16:58
Moderator

Beiträge: 7805
#6 Regedit.com und TASKMGR.COM wurden von Escan erstellt, was du wohl irgendwann mal eingesetzt hast. Das ist eine sehr unangenehme Angewohnheit von Escan. Loeschen will es malware nicht, erstellt aber ungefragt Dateien und Ordner im Windowsordner...

Was ergab der scan der anderen Datei?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.10.2007, 17:09
Member

Themenstarter

Beiträge: 13
#7 also Jotti sagt

A-Squared
Found nothing
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found BackDoor.Generic8.VDE

BitDefender
Found nothing
ClamAV
Found nothing
CPsecure
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Fortinet
Found BackDoor.B!tr

Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found W32/Suspicious_T.gen
Panda Antivirus
Found nothing
Rising Antivirus
Found nothing
Sophos Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing


und Virus Total

AhnLab-V3 2007.10.13.1 2007.10.12 -
AntiVir 7.6.0.23 2007.10.13 -
Authentium 4.93.8 2007.10.14 -
Avast 4.7.1051.0 2007.10.14 -
AVG 7.5.0.488 2007.10.14 BackDoor.Generic8.VDE
BitDefender 7.2 2007.10.14 -
CAT-QuickHeal 9.00 2007.10.13 -
ClamAV 0.91.2 2007.10.14 -
DrWeb 4.44.0.09170 2007.10.14 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5207 2007.10.13 -
Ewido 4.0 2007.10.14 -
FileAdvisor 1 2007.10.14 -
Fortinet 3.11.0.0 2007.10.14 BackDoor.B!tr
F-Prot 4.3.2.48 2007.10.14 -
F-Secure 6.70.13030.0 2007.10.13 SDBot.gen8
Ikarus T3.1.1.12 2007.10.14 Generic.Sdbot
Kaspersky 7.0.0.125 2007.10.14 -
McAfee 5140 2007.10.12 Generic BackDoor.b
Microsoft 1.2908 2007.10.14 -
NOD32v2 2591 2007.10.14 -
Norman 5.80.02 2007.10.12 W32/Suspicious_T.gen
Panda 9.0.0.4 2007.10.13 -
Prevx1 V2 2007.10.14 Malware.Gen
Rising 19.44.62.00 2007.10.14 -
Sophos 4.22.0 2007.10.14 -
Sunbelt 2.2.907.0 2007.10.13 VIPRE.Suspicious
Symantec 10 2007.10.14 -
TheHacker 6.2.8.089 2007.10.13 W32/Behav-Heuristic-064
VBA32 3.12.2.4 2007.10.14 -
VirusBuster 4.3.26:9 2007.10.13 -
Webwasher-Gateway 6.0.1 2007.10.13 Win32.Malware.gen (suspicious)
Dieser Beitrag wurde am 14.10.2007 um 17:14 Uhr von ls2000 editiert.
Seitenanfang Seitenende
14.10.2007, 17:12
Moderator

Beiträge: 7805
#8 Schicke diese Datei bitte einmal an virus@protecus.de und heuristik2 at avira.com.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.10.2007, 17:14
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Mal eben ein Test schwischen durch ;)

Download PREVXCSI zum Desktop
Doppelklick “Prevxcsifree”
Haacke an " I accept the terms and conditions " und klick “scan now”
Und berichte
__________
MfG Argus
Seitenanfang Seitenende
14.10.2007, 17:20
Member

Themenstarter

Beiträge: 13
#10 PREVXCSI sagt no infections found
Seitenanfang Seitenende
14.10.2007, 17:31
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Danke fuer die Information
__________
MfG Argus
Seitenanfang Seitenende
14.10.2007, 18:00
Moderator

Beiträge: 7805
#12 Benenne bitte diese Datei um: c:\windows\system32\MSWINSCK.OCX
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.10.2007, 18:20
Member

Themenstarter

Beiträge: 13
#13 in was soll ich die umbennen?
Seitenanfang Seitenende
14.10.2007, 18:22
Moderator

Beiträge: 7805
#14 Das ist im Grunde egal. Die Datei sollte eigentlich auch sauber sein, aber benenne sie um, oder verschieb sie, das sie von "deinem" SD Bot erstellt wurde.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.10.2007, 18:25
Member

Themenstarter

Beiträge: 13
#15 ok hab sie umbenannt in .000

kann ich die nicht löschen

wurden jetzt eigentlich kennwörter und logins bei mir ausgespät? was meinst du?
Seitenanfang Seitenende