Rechner hat zuviele svchosts offen und ist langsam...

#0
08.11.2008, 17:14
...neu hier

Beiträge: 5
#1 Hallo Community,

mein Rechner hat sich wohl gestern etwas eingefangen, hab gestern abend schon Spybot, sowie Malwarebytes antimalware laufen lassen, div. Sachen gefixt, nach Neustart auch noch mal, dennoch scheinen ein paar Sachen noch nicht weg zu sein. Über den Process Explorer bin ich an eine hartnäckige Svchost gestoßen, die .dlls benutzt, die Google überhaupt nicht kennt.....

habe mir eben mal die Mühe gemacht, einen HJT Log und einen LSA Log (auch von eurer Seite) anzuhängen, da in der Registry dieser Wert auch diese DLL beherbergt.

habe gestern auch schon teilweise die Registry gecleaned, soweit möglich ohne dass ich unsicher war.... (also nein, bin kein voll noob, hab schon mehrere PCs wieder Malware frei bekommen, aber alles weiss ich dann auch nicht *G* )

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07:45, on 08.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\netdde.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Java\jre6\bin\jqs.exe
E:\mabiogi\npkcmsvc.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\Dokumente und Einstellungen\luexx.REICHSSCHAF\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
F:\WINDOWS\system32\RunDll32.exe
F:\Programme\Java\jre6\bin\jusched.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
C:\dduptime\dduptime.exe
C:\Programme\NoAds\NoAds.exe
F:\PROGRA~1\ICQ\ICQ.exe
F:\WINDOWS\system32\cmd.exe
F:\DOKUME~1\LUEXX~1.REI\LOKALE~1\Temp\Rar$EX01.672\procexp.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\regedit.exe
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\notepad.exe
C:\HijackThis\HijackThis.exe
F:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ..-lueXx sTyle-..
F2 - REG:system.ini: UserInit=F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\oembios.exe,F:\WINDOWS\system32\twext.exe,
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {d1e32b04-e4be-4d2d-8aa2-9c5012513add} - F:\WINDOWS\system32\gunowini.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - F:\Programme\ImageShackToolbar\ImageShackToolbar.dll
O4 - HKLM\..\Run: [amd_dc_opt] F:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [sazawotomi] Rundll32.exe "F:\WINDOWS\system32\yemopego.dll",s
O4 - HKLM\..\Run: [MSConfig] F:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: dduptime.lnk = C:\dduptime\dduptime.exe
O4 - Startup: NoAds.lnk = C:\Programme\NoAds\NoAds.exe
O8 - Extra context menu item: Post Image to Blog - res://F:\Programme\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://F:\Programme\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Transload Image to ImageShack - res://F:\Programme\ImageShackToolbar\ImageShackToolbar.dll/5004
O8 - Extra context menu item: Upload All Images to ImageShack - res://F:\Programme\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://F:\Programme\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O15 - Trusted Zone: *.sxload.net (HKLM)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C604ABC1-242A-46EC-BEB0-9DF8E9DBB20B} (Image Uploader 3.0 Control) - https://mediencenter.t-online.de/res/js/thirdparty/imageuploader/CM4allUploader.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O20 - AppInit_DLLs: F:\WINDOWS\system32\mosowisi.dll
O20 - Winlogon Notify: c004152 - F:\WINDOWS\SYSTEM32\c004152.mat
O20 - Winlogon Notify: sys32 - sys32.dll (file missing)
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - E:\mabiogi\npkcmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - F:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - F:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6266 bytes

Zitat

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"="msv1_0"
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,00,\
00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:000003bc
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,46,00,\
3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,\
00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,6f,00,73,00,6f,00,77,00,69,00,\
73,00,69,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,4e,00,\
54,00,20,00,41,00,63,00,63,00,65,00,73,00,73,00,20,00,50,00,72,00,6f,00,76,\
00,69,00,64,00,65,00,72,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
6e,00,74,00,6d,00,61,00,72,00,74,00,61,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:78,4a,55,5c,b8,8a,77,3a,94,c2,5c,7d,d6,22,c0,93,66,35,39,37,38,\
64,66,35,00,fd,07,00,c0,26,00,00,34,fa,07,00,56,82,46,75,20,fa,07,00,40,fd,\
07,00,4c,fd,07,00,c5,b5,da,ec,3b,19,97,51,51,e2,86,f5

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:b7,c3,6f,ad,7c,6b,cb,ef,37

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:e1,ac,de,11,95,40

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:18,46,d2,75,1f,26,40,0c,f7,3d,94,79,5b,c8,88,77

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:a4,32,af,06,ad,41,c9,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031

Vielen Dank im Vorraus für die Hilfe


Alex
Seitenanfang Seitenende
08.11.2008, 17:44
Member

Beiträge: 3716
#2 Combofix

Downloade es von
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf
den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.
Seitenanfang Seitenende
08.11.2008, 17:57
...neu hier

Themenstarter

Beiträge: 5
#3 alles klar, wird gemacht, ich melde mich nach dem scan wieder



ComboFix will nicht wirklich anlaufen. Habe alles lt. HowTo befolgt, doch
trotz neustarts kam er max. bis zur Wiederherstellung, danach ging es nicht mehr weiter... - keine Auswahl, kein Scannen... nichts... ich habe nun den PoliciesFix geladen, noch mal nen Reboot, mal sehen....


Grüsse
Dieser Beitrag wurde am 08.11.2008 um 19:10 Uhr von luexx editiert.
Seitenanfang Seitenende
08.11.2008, 20:01
Member

Beiträge: 3716
#4 wenn nicht, lass combofix im abgesicherten modus ohne netzwerktreiber laufen.
Seitenanfang Seitenende
08.11.2008, 20:08
...neu hier

Themenstarter

Beiträge: 5
#5 habs noch mehr mals probiert, auch dieses comboscan, kommt bis 77% (examining registry) und dann hängt es ewig.. abgesicherter modus probier ich jetzt....


EDIT die zweite:

im Abgesicherten Modus kommt nicht mal mehr das blaue Consolenfenster....was nun?



EDIT again:

Rechner ist soweit clean und befreit, einziges - aber auch hartnäckigstes Problem besteht leider noch und ich verzweifle so langsam:

SVCHOST.exe wird als Massmailer via SMTP verwendet...also vermutlich
irgendein Wurm...nur welcher? und wie bekomm ich ihn weg?


grüsse

alex
Dieser Beitrag wurde am 09.11.2008 um 03:39 Uhr von luexx editiert.
Seitenanfang Seitenende
09.11.2008, 10:17
Member

Beiträge: 3716
#6 hallo, könntest du mal sagen, was du alles gelöscht hast?
ich würde auch gern mal das log von malwarebytes sehen.
http://virus-protect.org/cureit.html
bitte trenne den rechner vom netz, wenn eine verbindung net unbedingt möglich ist... provider mögen es net, wenn rechner spam versenden und dein internetzugang soll ja net gespert werden ;-)
Seitenanfang Seitenende
09.11.2008, 10:40
...neu hier

Themenstarter

Beiträge: 5
#7 Guten morgen,
was ich alles gelöscht habe... OMG...habe zuerst den Onlinescanner von Panda drüber laufen lassen, dann Adaware, dann habe ich noch avast! antivir gedownloaded und durchlaufen lassen..also waren viele Dateien..
desweiteren noch diverse unknown prozesse aus der Registry die definitiv nicht zu Windows gehörten (a la yvrtqwa.dll usw...)

Malwarebytes Log:

Zitat

02:40:44 08.11.2008
mbam-log-11-8-2008 (02-40-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 216841
Laufzeit: 1 hour(s), 27 minute(s), 1 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 26

Infizierte Speicherprozesse:
F:\Dokumente und Einstellungen\luexx.REICHSSCHAF\Anwendungsdaten\Microsoft\Windows\lsass.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
F:\WINDOWS\system32\crypts.dll (Trojan.Agent) -> Unloaded module successfully.
F:\WINDOWS\system32\xxyxXNhe.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d1e32b04-e4be-4d2d-8aa2-9c5012513add} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d1e32b04-e4be-4d2d-8aa2-9c5012513add} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fci (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fci (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\fci (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\icf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\icf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\icf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msupdate (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\lsass service (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
F:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
F:\WINDOWS\system32\xxyyYSMg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\gMSYyyxx.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\gunowini.dll (Trojan.BHO) -> Delete on reboot.
C:\oxii.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\ulwgf.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\yxygu.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\admwxe.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\luexx.REICHSSCHAF\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\4DGDWFQ7\wyzvjj[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\luexx.REICHSSCHAF\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\789AKC4W\akuhhvijjx[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\luexx.REICHSSCHAF\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\789AKC4W\asuper3[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\luexx.REICHSSCHAF\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\789AKC4W\rbkyymzn[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\luexx.REICHSSCHAF\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\89Q30PEZ\asuper0[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\k86.bin (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\crypts.dll (Trojan.Agent) -> Delete on reboot.
F:\WINDOWS\system32\pac.txt (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\svchost.exe:ext.exe (Rootkit.ADS) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\pmnnNfEw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\hgGawTjk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\xxyxXNhe.dll (Trojan.Vundo) -> Delete on reboot.
F:\WINDOWS\system32\msvcrtd.exe (Rootkit.Agent) -> Delete on reboot.
F:\Dokumente und Einstellungen\luexx.REICHSSCHAF\Anwendungsdaten\Microsoft\Windows\lsass.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\Temp\BN2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\Temp\BN3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\Temp\BN4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
Rechner vom Netz nehmen geht leider nicht, da einzigster Rechner und irgendwie muss ich ja hier schauen und andere Sachen machen ;)

ps: seit heut Nacht schmiert eine Svchost.exe immer ab, "Fehler in Anwendung" die Anweisung blabla verweist auf Speicher....."
Tut dem Spammail senden aber keinen Abbruch...
Seitenanfang Seitenende
09.11.2008, 10:50
Moderator

Beiträge: 7805
#8 Nimm den Rechner vom Netz(sofort!), sichere deine Daten und setz ihn neu auf!

http://board.protecus.de/t13020.htm

Mich wundert, das dich dein Provider noch nicht angeschrieben hat, wenn dein Rechner wirklich Spammails versendet.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.11.2008, 11:11
...neu hier

Themenstarter

Beiträge: 5
#9 hai....

neu aufsetzen ist momentan keine gute Idee, da absolut nix da zum sichern, nicht mal Rohlinge...zumal ich kein Fan von Neu aufsetzen bin...

andere Möglichkeit?
bin geduldig...ich blocke erstmal den Port 25...sofern das irgendwie geht.. ;)

Update: also port 25 ist nun erstmal in der Routerfirewall geblockt..

aktuelles HJT Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53, on 2008-11-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Alwil Software\Avast4\aswUpdSv.exe
F:\Programme\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\netdde.exe
F:\Programme\Java\jre6\bin\jqs.exe
F:\WINDOWS\system32\RunDll32.exe
E:\mabiogi\npkcmsvc.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\Programme\Java\jre6\bin\jusched.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\dduptime\dduptime.exe
C:\Programme\NoAds\NoAds.exe
F:\PROGRA~1\ICQ\ICQ.exe
F:\Programme\Alwil Software\Avast4\ashWebSv.exe
F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
F:\WINDOWS\explorer.exe
F:\WINDOWS\system32\dllhost.exe
F:\Programme\Alwil Software\Avast4\ashMaiSv.exe
F:\Dokumente und Einstellungen\luexx.REICHSSCHAF\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\Internet Explorer\IEXPLORE.EXE
G:\SICHERUNGSIMAGES\Sicherungsimage vidz - sound\von F entrart\Programme\Winamp\winamp.exe
F:\Dokumente und Einstellungen\luexx.REICHSSCHAF\Desktop\cureit.exe
F:\DOKUME~1\LUEXX~1.REI\LOKALE~1\Temp\RarSFX0\_start.exe
F:\DOKUME~1\LUEXX~1.REI\LOKALE~1\Temp\RarSFX0\setup.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ..-lueXx sTyle-..
F2 - REG:system.ini: UserInit=F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\oembios.exe,F:\WINDOWS\system32\twext.exe,
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {d1e32b04-e4be-4d2d-8aa2-9c5012513add} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - F:\Programme\ImageShackToolbar\ImageShackToolbar.dll
O4 - HKLM\..\Run: [amd_dc_opt] F:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [MSConfig] F:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [sazawotomi] Rundll32.exe "F:\WINDOWS\system32\yemopego.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [sazawotomi] Rundll32.exe "F:\WINDOWS\system32\yemopego.dll",s (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-854245398-1336601894-839522115-500\..\RunOnce: [NeroHomeFirstStart] "F:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: dduptime.lnk = C:\dduptime\dduptime.exe
O4 - Startup: NoAds.lnk = C:\Programme\NoAds\NoAds.exe
O8 - Extra context menu item: Post Image to Blog - res://F:\Programme\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://F:\Programme\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Transload Image to ImageShack - res://F:\Programme\ImageShackToolbar\ImageShackToolbar.dll/5004
O8 - Extra context menu item: Upload All Images to ImageShack - res://F:\Programme\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://F:\Programme\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O15 - Trusted Zone: *.sxload.net (HKLM)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - h**p://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - h**p://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {2d8ed06d-3c30-438b-96ae-4d110fdc1fb8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {56762dec-6b0d-4ab4-a8ad-989993b5d08b} (OnlineScanner Control) - h**p://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226179879921
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - h**p://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C604ABC1-242A-46EC-BEB0-9DF8E9DBB20B} (Image Uploader 3.0 Control) - h**ps://mediencenter.t-online.de/res/js/thirdparty/imageuploader/CM4allUploader.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - h**p://www.lokalisten.de/iup/ImageUploader4.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - F:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - F:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner (avast! mail scanner) - ALWIL Software - F:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner (avast! web scanner) - ALWIL Software - F:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - E:\mabiogi\npkcmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - F:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - F:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7767 bytes
Dieser Beitrag wurde am 09.11.2008 um 11:54 Uhr von luexx editiert.
Seitenanfang Seitenende