kernel.exe <- wie werde ich sie los ?

#1 tag,
ich hab in meinen laufenden prozessen die "kernel.exe" und werde sie nicht mehr los. ich habe mir mehrere beschreibungen angesehn, die mich alle durch die regedit gefuehrt haben auf: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ da steht aber nichts, was dem nahe kommt.
was kann ich da machen ?

by the way: wo bekomme ich diesen hijackthis her ?

greetz
ecko

#2 Du kannst es hierher bekommen: http://www.spywareinfo.com/~merijn/files/HijackThis.exe

Anleitung: www.hjt.klaffke.de

Was laesst dich vermuten, das kernel.exe "boese" ist?
__________
MfG Ralf
SEO-Spam Hunter

#3 danke
sie wird eben als wurm angezeigt...und da ich bei online-games einen ueberdurchschnittlich hohen ping habe, wundert mich das nun auch nicht mehr. sie sitzt laut windows im t-online-ordner

#4 Ich habe hier leider kein TO 5.x, aber wer meldet denn wo genau den Wurm und poste bitte ein HJT log, danke.
__________
MfG Ralf
SEO-Spam Hunter

#5 htj funzt bei mir net, haengt sich beim log save auf...antivir hat 7 virenwarnungen gemeldet. unter anderem auch den TR/stubby
ich glaub es beste is formatiern...

trotzdem danke

greetz
ecko

#6 Das ist bei Virenbefall nie der schlechteste Weg, aber davon ausgehend, das die kernel.exe ein potetieller Fehlalarm und der Tr/Stubby adware ist, ein wenig zu panisch(IMO).

Man sollte zumindest soetwas nutzen, um mehr ueber sein System zu lernen.
__________
MfG Ralf
SEO-Spam Hunter

#7 Hi ecko,

also ich habe auch T-Online 5. Die kernel.exe wurde mit der
T-Online-Software installiert und befindet sich auch, wie von
dir bereits genannt, im T-Online Ordner Basissoftware.
Ich weiss zwar auch nicht wofür die Datei gut ist, aber gefährlich
erscheint sie mir nicht. AntiVir spuckt bei mir auch nichts derartiges
aus. Bevor du dir die Arbeit mit dem formatieren machst, frag doch
erst mal bei T-Online an (falls es nicht schon zu spät ist ).

Gruß
Bulli

#8 Die Kernel.exe gehört zu T-online.
wahrscheinlich wird dein T-online nicht ohne der Kernel.exe funktionieren?
Aber du brauchst ja die T-doof-software nicht,um mit T-online ins Internet
zu kommen,geht ja auch per DFÜ-Verbindung
Oder meinst du die Kernel32.exe?
Info zur Kernel32.exe:
kernel32 - kernel32.exe - Process Information
Process File: kernel32 or kernel32.exe
Process Name: kernel32
Description: Virus added to the system as a result of Floodnet virus that attempts to send a message to the alias"All Users" using Microsoft Outlook. If this address is not present in a local or global address book, or not an alias on the specified SMTP server, then the message is not sent.
Company: N/A
System Process: No
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): Yes
Common Errors: N/A

Ich hab mal ne Liste mit den "normalen" und den "gefährlichen" Systemtasks
geposted,damit ihr sehn könnt,ob die tasks , die bei euch laufen, auf nen wurmbefall hindeuten.

#9 so hab jetzt mal den system check gemacht mit hijack this und da kam das raus. kann mir vielleicht einer mehr dazu erzählen !? danke schon mal !!

Logfile of HijackThis v1.99.1
Scan saved at 20:50:36, on 15.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\soundman.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Opera\Opera.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Azureus\Azureus.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Security Task Manager\TaskMan.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\BASTARD\Eigene Dateien\Azureus Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/Q_3_gZC1U2SUbdi70PPSDO6LnFAznfMJVuqg-cbcgk3hpVGIRnzcCg$$/http://www.slidealama.com/index.php?section=order&lang=ger
O1 - Hosts: 92.63.97.167 www.postbank.de
O1 - Hosts: 92.63.97.167 postbank.de
O1 - Hosts: 92.63.97.167 banking.postbank.de
O1 - Hosts: 92.63.97.167 direkt.postbank.de
O1 - Hosts: 92.63.97.167 www.smile.co.uk
O1 - Hosts: 92.63.97.167 smile.co.uk
O1 - Hosts: 92.63.97.167 cahoot.com
O1 - Hosts: 92.63.97.167 www.cahoot.com
O1 - Hosts: 92.63.97.167 www.cahoot.co.uk
O1 - Hosts: 92.63.97.167 cahoot.co.uk
O1 - Hosts: 92.63.97.167 www.co-operativebank.co.uk
O1 - Hosts: 92.63.97.167 co-operativebank.co.uk
O1 - Hosts: 92.63.97.167 www.co-operativebank.com
O1 - Hosts: 92.63.97.167 co-operativebank.com
O1 - Hosts: 92.63.97.167 personal.barclays.co.uk
O1 - Hosts: 92.63.97.167 barclays.co.uk
O1 - Hosts: 92.63.97.167 ibank.barclays.co.uk
O1 - Hosts: 92.63.97.167 www.barclays.co.uk
O1 - Hosts: 92.63.97.167 barclays.touchclarity.com
O1 - Hosts: 92.63.97.167 hsbc.co.uk
O1 - Hosts: 92.63.97.167 www.hsbc.co.uk
O1 - Hosts: 92.63.97.167 hsbc.touchclarity.com
O1 - Hosts: 92.63.97.167 www1.member-hsbc-group.com
O1 - Hosts: 92.63.97.167 lloydstsb.co.uk
O1 - Hosts: 92.63.97.167 www.lloydstsb.co.uk
O1 - Hosts: 92.63.97.167 lloydstsb.com
O1 - Hosts: 92.63.97.167 www.lloydstsb.com
O1 - Hosts: 92.63.97.167 mi.lloydstsb.com
O1 - Hosts: 92.63.97.167 www.woolwich.co.uk
O1 - Hosts: 92.63.97.167 woolwich.co.uk
O1 - Hosts: 92.63.97.167 www.deutsche-bank.de
O1 - Hosts: 92.63.97.167 deutsche-bank.de
O1 - Hosts: 92.63.97.167 meine.deutsche-bank.de
O1 - Hosts: 92.63.97.167 www.anbusiness.com
O1 - Hosts: 92.63.97.167 anbusiness.com
O1 - Hosts: 92.63.97.167 www.abbeyinternational.com
O1 - Hosts: 92.63.97.167 www.barclays.com
O1 - Hosts: 92.63.97.167 barclays.com
O1 - Hosts: 92.63.97.167 ibank.internationalbanking.barclays.com
O1 - Hosts: 92.63.97.167 offshore.hsbc.com
O1 - Hosts: 92.63.97.167 www.lloydstsb-offshore.com
O1 - Hosts: 92.63.97.167 lloydstsb-offshore.com
O1 - Hosts: 92.63.97.167 citibank.de
O1 - Hosts: 92.63.97.167 www.citibank.de
O1 - Hosts: 92.63.97.167 www.natwest.com
O1 - Hosts: 92.63.97.167 natwest.com
O1 - Hosts: 92.63.97.167 www.nwolb.com
O1 - Hosts: 92.63.97.167 nwolb.com
O1 - Hosts: 92.63.97.167 rbs.co.uk
O1 - Hosts: 92.63.97.167 www.rbs.co.uk
O1 - Hosts: 92.63.97.167 www.rbsdigital.com
O1 - Hosts: 92.63.97.167 rbsdigital.com
O1 - Hosts: 92.63.97.167 www.ybonline.co.uk
O1 - Hosts: 92.63.97.167 ybonline.co.uk
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: testCPV6 - {15421b84-3488-49a7-ad18-cbf84a3efaf6} - C:\Programme\CPV\CPV8.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Love default global mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\mapi default.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [Ashampoo Magical Optimizer Taskplaner] "C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.EXE" -TRAY
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [WinTouch] C:\Dokumente und Einstellungen\BASTARD\Anwendungsdaten\WinTouch\WinTouch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Outpost Security Suite Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {44990301-3c9d-426d-81df-aab636fa4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{374C303B-E2FB-439D-A43D-D51038CD8061}: NameServer = 85.255.115.38,85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9A0E174-9E7D-4447-847C-2179293CAC5F}: NameServer = 217.237.149.205 217.237.151.51
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE8DE758-B6BD-4E00-A946-BE76808472A6}: NameServer = 85.255.115.38,85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.63
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.63
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: mljdcdww - mlJdcDww.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: FCI (fci) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

#10 @T_Bastard

Hmm.. deine Internetverbindung wird auf einen ukrainischen Server umgeleitet.

Zitat

IP Information for 85.255.112.63
IP Location: Ukraine Ukrtelegroup Ltd
Resolve Host: 85.255.112.63-xbox.dedi.inhoster.com
IP Address: 85.255.112.63
Blacklist Status: Clear

Whois Record
inetnum: 85.255.112.0 - 85.255.127.255
netname: UkrTeleGroup
descr: UkrTeleGroup Ltd.
admin-c: UA481-RIPE
tech-c: UA481-RIPE
country: UA
org: ORG-UL25-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: UKRTELE-MNT
mnt-routes: UKRTELE-MNT
mnt-domains: UKRTELE-MNT
source: RIPE # Filtered

Falls die Möglichkeit besteht ist es sicherlich nicht falsch, das ganze System zu formatieren.

Aber ein Admin soll das Log anschauen und entscheiden ob eine Reinigung sinnvoll und möglich ist.

Lad einmal die Dateien:

Zitat

C:\Dokumente und Einstellungen\BASTARD\Anwendungsdaten\WinTouch\WinTouch.exe
C:\Programme\CPV\CPV8.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\mapi default.exe

bie www.virustotal.com/de hoch und poste das ergebnis.

Dürfte mit einem trojaner in Verbindung stehen.

Gruss Swiss

#11 ««

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/Q_3_gZC1U2SUbdi70PPSDO6LnFAznfMJVuqg-cbcgk3hpVGIRnzcCg$$/http://www.s
lidealama.com/index.php?section=order&lang=ger
O1 - Hosts: 92.63.97.167 www.postbank.de
O1 - Hosts: 92.63.97.167 postbank.de
O1 - Hosts: 92.63.97.167 banking.postbank.de
O1 - Hosts: 92.63.97.167 direkt.postbank.de
O1 - Hosts: 92.63.97.167 www.smile.co.uk
O1 - Hosts: 92.63.97.167 smile.co.uk
O1 - Hosts: 92.63.97.167 cahoot.com
O1 - Hosts: 92.63.97.167 www.cahoot.com
O1 - Hosts: 92.63.97.167 www.cahoot.co.uk
O1 - Hosts: 92.63.97.167 cahoot.co.uk
O1 - Hosts: 92.63.97.167 www.co-operativebank.co.uk
O1 - Hosts: 92.63.97.167 co-operativebank.co.uk
O1 - Hosts: 92.63.97.167 www.co-operativebank.com
O1 - Hosts: 92.63.97.167 co-operativebank.com
O1 - Hosts: 92.63.97.167 personal.barclays.co.uk
O1 - Hosts: 92.63.97.167 barclays.co.uk
O1 - Hosts: 92.63.97.167 ibank.barclays.co.uk
O1 - Hosts: 92.63.97.167 www.barclays.co.uk
O1 - Hosts: 92.63.97.167 barclays.touchclarity.com
O1 - Hosts: 92.63.97.167 hsbc.co.uk
O1 - Hosts: 92.63.97.167 www.hsbc.co.uk
O1 - Hosts: 92.63.97.167 hsbc.touchclarity.com
O1 - Hosts: 92.63.97.167 www1.member-hsbc-group.com
O1 - Hosts: 92.63.97.167 lloydstsb.co.uk
O1 - Hosts: 92.63.97.167 www.lloydstsb.co.uk
O1 - Hosts: 92.63.97.167 lloydstsb.com
O1 - Hosts: 92.63.97.167 www.lloydstsb.com
O1 - Hosts: 92.63.97.167 mi.lloydstsb.com
O1 - Hosts: 92.63.97.167 www.woolwich.co.uk
O1 - Hosts: 92.63.97.167 woolwich.co.uk
O1 - Hosts: 92.63.97.167 www.deutsche-bank.de
O1 - Hosts: 92.63.97.167 deutsche-bank.de
O1 - Hosts: 92.63.97.167 meine.deutsche-bank.de
O1 - Hosts: 92.63.97.167 www.anbusiness.com
O1 - Hosts: 92.63.97.167 anbusiness.com
O1 - Hosts: 92.63.97.167 www.abbeyinternational.com
O1 - Hosts: 92.63.97.167 www.barclays.com
O1 - Hosts: 92.63.97.167 barclays.com
O1 - Hosts: 92.63.97.167 ibank.internationalbanking.barclays.com
O1 - Hosts: 92.63.97.167 offshore.hsbc.com
O1 - Hosts: 92.63.97.167 www.lloydstsb-offshore.com
O1 - Hosts: 92.63.97.167 lloydstsb-offshore.com
O1 - Hosts: 92.63.97.167 citibank.de
O1 - Hosts: 92.63.97.167 www.citibank.de
O1 - Hosts: 92.63.97.167 www.natwest.com
O1 - Hosts: 92.63.97.167 natwest.com
O1 - Hosts: 92.63.97.167 www.nwolb.com
O1 - Hosts: 92.63.97.167 nwolb.com
O1 - Hosts: 92.63.97.167 rbs.co.uk
O1 - Hosts: 92.63.97.167 www.rbs.co.uk
O1 - Hosts: 92.63.97.167 www.rbsdigital.com
O1 - Hosts: 92.63.97.167 rbsdigital.com
O1 - Hosts: 92.63.97.167 www.ybonline.co.uk
O1 - Hosts: 92.63.97.167 ybonline.co.uk
O2 - BHO: testCPV6 - {15421b84-3488-49a7-ad18-cbf84a3efaf6} - C:\Programme\CPV\CPV8.dll
O4 - HKLM\..\Run: [Love default global mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\mapi default.exe
O4 - HKCU\..\Run: [WinTouch] C:\Dokumente und Einstellungen\BASTARD\Anwendungsdaten\WinTouch\WinTouch.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{374C303B-E2FB-439D-A43D-D51038CD8061}: NameServer = 85.255.115.38,85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE8DE758-B6BD-4E00-A946-BE76808472A6}: NameServer = 85.255.115.38,85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.63
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.38 85.255.112.63
O20 - Winlogon Notify: mljdcdww - mlJdcDww.dll (file missing)
O23 - Service: FCI (fci) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Wichtig:Rechner neu Starten

««
FixWareout
http://virus-protect.org/artikel/tools/fixwareout.html

Fixwareout zum Desktop
Klicke dann auf "Next" > "Install" > achte darauf dass ein Häkchen sitzt bei "Run fixit"
klicke dann auf "Finish".

Der Fix wird nun starten, folge den Hinweisen. Du wirst gefragt, den Rechner neu zustarten (reboot), mach das bitte. Dein System wird länger dazu brauchen als sonst, das ist normal. Wenn dein Rechner wieder aufgestartet ist, folge den Hinweisen. Dann wird HijackThis starten.
Ein logfile wird sich oeffnen(report.txt)
Kopiere den Inhalt des Berichts report.txt in diesen Thread
Note*
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verbindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden).

-> Start->Ausführen->schreib rein: ipconfig /flushdns (beachte das Leerzeichen hinter 'ipconfig'!)

««
Malwarebytes Anti-Malware

http://virus-protect.org/artikel/tools/malwarebytes.html

MBAM zum Desktop
Doppelklick mbam-setup und waehle Deutsch,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren".
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu

««
ComboFix
http://virus-protect.org/artikel/tools/combofix.html

ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

zusammen mit ein neuen log von HijackThis
__________
MfG Argus

#12 axo, was ich ganz vergessen habe, hab das norton antivirus 2008, und die hauptprobleme sind ccSvcHst.exe die mit den speicherverbrauch so ansteigt das die einfach mal größen von 400.000k - 500.000k an nimmt. wollte die schon entfernen mit security task manager (dort heißt die ccComun oder so) und eine Kernel.exe die auch nicht zu entfernen geht. das problem kommt ja nur mit dem norton. aber ohne anti vir programm möcht ich auch nicht. und mein system versteht sich mit antivir (roter regenschirm) nicht. wenn ich das drauf hab muss ich im abgesicherten modus starten und das wieder runter haun.

C:\Programme\CPV\CPV8.dll

AhnLab-V3 2008.4.15.0 2008.04.14 -
AntiVir 7.6.0.85 2008.04.14 -
Authentium 4.93.8 2008.04.14 -
Avast 4.8.1169.0 2008.04.14 -
AVG 7.5.0.516 2008.04.14 -
BitDefender 7.2 2008.04.15 -
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.15 -
DrWeb 4.44.0.09170 2008.04.14 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5699 2008.04.14 -
Ewido 4.0 2008.04.14 -
F-Prot 4.4.2.54 2008.04.14 -
F-Secure 6.70.13260.0 2008.04.15 -
FileAdvisor 1 2008.04.15 -
Fortinet 3.14.0.0 2008.04.14 -
Ikarus T3.1.1.26 2008.04.15 AdWare.Win32.Bestrevenue
Kaspersky 7.0.0.125 2008.04.15 -
McAfee 5273 2008.04.14 -
Microsoft 1.3408 2008.04.14 Adware:Win32/Bestrevenue
NOD32v2 3026 2008.04.14 -
Norman 5.80.02 2008.04.14 -
Panda 9.0.0.4 2008.04.14 -
Prevx1 V2 2008.04.15 -
Rising 20.40.02.00 2008.04.14 -
Sophos 4.28.0 2008.04.15 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.15 -
TheHacker 6.2.92.277 2008.04.14 -
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.14 -
Webwasher-Gateway 6.6.2 2008.04.14 -
weitere Informationen
File size: 54784 bytes
MD5...: 557192e3bd0d10d89adeed80d47c996b
SHA1..: 03d0dc58f56f821ddfe58b81c63f0ed6cb68da2f
SHA256: 2bbef8be29cd14cc1dfb618cc2be3e097c264bb72d178c8aeddae9c4d6fc4be6
SHA512: 48ab525d5479500cca45c222be0ea00bf002c3f3461f2ee7602220ebdff6773c
8fe6219bf22061acb4dc2c3b0647f197d30912a98f7e77d5bca0fb25ae744ddf
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10008288
timedatestamp.....: 0x47fa35ec (Mon Apr 07 14:55:40 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7baa 0x7c00 6.36 3c36f66dbeebb7bf01b090c21796f3c6
.rdata 0x9000 0x2b95 0x2c00 4.52 e1a4ce2544fbe6489fc73e1e74299e9a
.data 0xc000 0xb54 0x800 4.29 498c8c216de93e5946a1fdc3ca60616b
.rsrc 0xd000 0x1178 0x1200 4.78 59898f8d4b2d8d5d688cd95222411190
.reloc 0xf000 0xe2c 0x1000 5.33 1985cd69b13a49105f5982ae2bbe2c38

( 8 imports )
> DNSAPI.dll: DnsQuery_W, DnsRecordListFree
> KERNEL32.dll: CreateFileW, lstrcatW, CreateThread, EnterCriticalSection, LeaveCriticalSection, GetModuleFileNameW, FreeLibrary, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, GetModuleHandleW, DisableThreadLibraryCalls, SetThreadLocale, GetThreadLocale, lstrlenA, CreateFileMappingW, LocalFree, HeapAlloc, GetProcessHeap, HeapFree, GetLocaleInfoA, GetSystemDefaultLCID, lstrcpyA, GetVolumeInformationA, GetWindowsDirectoryA, lstrcatA, GlobalFree, GlobalAlloc, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, GetVersionExA, MapViewOfFile, InterlockedDecrement, InterlockedIncrement, CreateMutexW, WaitForSingleObject, Sleep, ReleaseMutex, CloseHandle, MultiByteToWideChar, lstrcmpiW, FlushViewOfFile, GetLastError, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WideCharToMultiByte, GetACP, UnhandledExceptionFilter, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, InterlockedExchange, GetTickCount, QueryPerformanceCounter, IsDebuggerPresent, SetUnhandledExceptionFilter
> USER32.dll: wsprintfA, CharUpperA, CharNextW, UnregisterClassA
> ADVAPI32.dll: RegDeleteValueW, RegCloseKey, RegQueryValueExA, RegOpenKeyA, RegCreateKeyA, RegEnumKeyExW, RegQueryInfoKeyW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, RegDeleteKeyW
> SHELL32.dll: SHGetSpecialFolderPathW
> ole32.dll: StringFromGUID2, OleInitialize, CoCreateInstance, CoTaskMemFree, CoTaskMemRealloc, CoTaskMemAlloc, OleUninitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCR80.dll: strncmp, _crt_debugger_hook, __type_info_dtor_internal_method@type_info@@QAEXXZ, __CppXcptFilter, _adjust_fdiv, _amsg_exit, _initterm_e, _initterm, _encoded_null, _malloc_crt, _decode_pointer, _onexit, _lock, __dllonexit, _encode_pointer, _unlock, _terminate@@YAXXZ, _except_handler4_common, strstr, malloc, free, memcpy_s, _CxxThrowException, wcsncpy_s, _itoa_s, __CxxFrameHandler3, _purecall, _recalloc, wcstombs, atoi, memset, _time64, strncpy_s, wcscpy_s, wcscat_s, __clean_type_info_names_internal

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

bei den beiden kommt kein ergebnis ich versuch es später noch einmal.

C:\Dokumente und Einstellungen\BASTARD\Anwendungsdaten\WinTouch\WinTouch.exel
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\mapi default.exe

#13 Auf ein Rechner gehoert nur ein Antivirus Program
__________
MfG Argus

#14 T_BASTARD

poste zuerst einmal das log von Combofix (nach Anwendung von fixwareout + Fixen mit hijackThis)
Der Rechner ist schwer verseucht, da muss man systematisch vorgehen
__________
MfG Sabina

rund um die PC-Sicherheit

#15 ««

Zitat

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

so bis hier her bin ich jetzt gekommen. das problem wenn ich neu start mache fährt der rechner zwar hoch aber der monitor bleibt schwarz. also müsste das problem beseitigt werden (ich weiß aleider nicht wie )