rechner verhält sichteil merkwürdig

**Thybald** · 19.11.2006, 20:44

hi,

wollt mal mein log checken lassen, hab davon leider keinerlei ahnung und habe von jemanden gehört, das smss.exe ein virus ist! habe die datei im
system32 ordner

würde mich freuen, wenn jeman mal mein log analysieren könnte!

Logfile of HijackThis v1.99.1
Scan saved at 21:47:39, on 19.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_01\bin\jucheck.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\Ad-aware 6\Ad-watch.exe
C:\Programme\Bluetooth Software\BTStackServer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Thybalds\Desktop\HijackThis.exe

R3 - Default URLSearchHook is missing
O1 - Hosts: 212.227.62.163 l2testauthd.lineage2.com
O1 - Hosts: 212.227.62.163 l2testauthd.lineage2.com
O1 - Hosts: 212.227.62.163 l2testauthd.lineage2.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9D9A7350-46C9-4E3C-92EF-382B5740A1C3} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Ad-watch 3.0.lnk = C:\Programme\Ad-aware 6\Ad-watch.exe
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1131266050367
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

mfg THy

**kira** · 19.11.2006, 21:44

Hallo Thibald
und Herzlich

Es werden detaillierte Informationen zu deinem System benötigt.
Bitte halte dich an folgende Anleitung und poste die gewünschten Ergebnisse:

Einstellen der Ordner Optionen:
kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Lade das filelist.zip auf deinen Desktop herunter.
entpacke die Zip-Datei auf deinen Desktop (kostenlose Zip-Tools)
starte deinen Rechner neu auf
öffne die nun auf deinem Desktop vorhandene filelist.bat mit einem Doppelklick auf die Datei
dein Editor (Textverarbeitungsprogramm) wird sich öffnen
markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien deinem nächsten Beitrag an

Ein dickes Dankeschön an unseren Moderator Karl83 für die filelist.bat (Anleitung)

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:

C:\
C:\WINDOWS\System32
C:\WINDOWS
C:\WINDOWS\Prefetch
C:\WINDOWS\tasks
C:\WINDOWS\Temp
C:\DOCUME~1\Name\LOCALS\~1\Temp

Gruß
Argos

**Thybald** · 20.11.2006, 16:46

Verzeichnis von C:\

20.11.2006 07:34 43 filelist.txt
20.11.2006 06:58 1.610.612.736 pagefile.sys
05.11.2006 19:59 7.291 hpfr5550.log
05.11.2006 19:59 0 hpfr5550.xml
20.07.2006 09:48 192 boot.ini

Verzeichnis von C:\WINDOWS\system32

19.11.2006 09:47 2.278 wpa.dbl
09.11.2006 10:53 124.688 MSWINSCK.OCX
29.10.2006 07:50 45.742 perfc009.dat
29.10.2006 07:50 364.068 perfh009.dat
29.10.2006 07:50 371.546 perfh007.dat
29.10.2006 07:50 55.138 perfc007.dat
29.10.2006 07:50 843.646 PerfStringBackup.INI
02.10.2006 17:58 24.072 uxtuneup.dll

Verzeichnis von C:\WINDOWS\Prefetch

20.11.2006 07:34 5.562 CMD.EXE-087B4001.pf
20.11.2006 07:34 5.598 FIND.EXE-0EC32F1E.pf
20.11.2006 07:34 19.496 NOTEPAD.EXE-336351A9.pf
20.11.2006 07:17 591.604 Layout.ini
20.11.2006 07:00 101.534 FIREFOX.EXE-1D57670A.pf
20.11.2006 07:00 1.489.510 NTOSBOOT-B00DFAAD.pf
20.11.2006 06:57 36.686 LOGONUI.EXE-0AF22957.pf
20.11.2006 06:56 62.602 WINRAR.EXE-3588DFE8.pf
20.11.2006 06:52 27.904 WUAUCLT.EXE-399A8E72.pf
19.11.2006 21:59 24.200 VNCVIEWER.EXE-05DB5DCA.pf
19.11.2006 21:47 56.312 HIJACKTHIS.EXE-1A0AA522.pf
19.11.2006 21:46 71.436 MSIMN.EXE-0B61806C.pf
19.11.2006 20:43 70.608 DFRGNTFS.EXE-269967DF.pf
19.11.2006 20:43 11.722 DEFRAG.EXE-273F131E.pf
19.11.2006 19:46 23.906 TASKMGR.EXE-20256C55.pf
19.11.2006 19:46 5.906 PROCESS.EXE-37B441E7.pf
19.11.2006 19:45 16.300 RUNDLL32.EXE-451FC2C0.pf
19.11.2006 18:55 50.338 FLASHFXP.EXE-1934AF90.pf
19.11.2006 18:22 44.090 UPDATE.EXE-13D57D76.pf
19.11.2006 18:22 13.316 PREUPD.EXE-358AA1C1.pf
19.11.2006 17:04 108.394 ACRORD32.EXE-0EC716D9.pf
19.11.2006 16:47 19.148 SWISH2.EXE-00802344.pf
19.11.2006 16:46 17.534 K5907DEX.EXE-33B8968E.pf
19.11.2006 16:46 17.474 K3404DEX.EXE-223E9035.pf
19.11.2006 15:31 75.114 ICQLITE.EXE-2AEFACA7.pf
19.11.2006 15:10 64.318 MPLAYERC.EXE-27FBB82C.pf
19.11.2006 12:53 85.780 ACRORD32INFO.EXE-30CEC19C.pf
18.11.2006 21:15 45.044 WMIPRVSE.EXE-28F301A9.pf
18.11.2006 21:15 101.098 HELPSVC.EXE-2878DDA2.pf
18.11.2006 20:01 20.090 SNDVOL32.EXE-383480B7.pf
18.11.2006 18:22 14.462 SCHED.EXE-236A886F.pf
18.11.2006 18:22 24.136 AVGNT.EXE-36CA4640.pf
18.11.2006 18:22 53.876 AVGUARD.EXE-3490B18B.pf
18.11.2006 18:22 63.412 AVNOTIFY.EXE-22AE9451.pf
18.11.2006 15:48 50.534 AVSCAN.EXE-05AECC0E.pf
17.11.2006 19:45 16.664 EXPLORER.EXE-082F38A9.pf
17.11.2006 17:15 69.078 DISKCLEANER.EXE-015A6E3D.pf
17.11.2006 17:15 66.346 SYSTEMOPTIMIZER.EXE-191231CF.pf
17.11.2006 17:15 90.744 REGISTRYCLEANER.EXE-2ACFEEF7.pf
16.11.2006 21:33 72.120 WINDVD.EXE-27A58598.pf
16.11.2006 21:33 25.192 SELFDEL.EXE-0E4B29F1.pf
16.11.2006 21:29 11.660 RMADEC.EXE-33C3B879.pf
16.11.2006 21:29 49.156 NERO.EXE-32314E31.pf
16.11.2006 21:20 9.106 JASCUPDATE.EXE-0244B4D4.pf
16.11.2006 21:20 60.228 PAINT SHOP PRO 9.EXE-06E7A0CF.pf
16.11.2006 06:17 91.274 EHREC.EXE-3B4F59C8.pf
14.11.2006 20:55 32.778 JUCHECK.EXE-206DAF2C.pf
14.11.2006 20:55 8.812 JAVA.EXE-11ED46B1.pf
13.11.2006 07:32 28.516 WORDPAD.EXE-1EFCC5C1.pf
12.11.2006 20:15 8.888 CNDNDLG.EXE-1EA26136.pf
12.11.2006 20:08 27.274 WIAACMGR.EXE-212ED878.pf
12.11.2006 15:15 61.680 WMPLAYER.EXE-09969339.pf
12.11.2006 15:03 67.818 WMPLAYER.EXE-0996933B.pf
12.11.2006 13:15 12.112 HPZSTC07.EXE-14965F81.pf
10.11.2006 09:48 60.130 WINWORD.EXE-259486DA.pf
09.11.2006 23:30 22.608 WINHLP32.EXE-2C18E975.pf
09.11.2006 23:28 18.816 486408333.EXE-05269320.pf
09.11.2006 23:22 28.510 DRWTSN32.EXE-2B4B52AC.pf
09.11.2006 23:22 48.526 DWWIN.EXE-30875ADC.pf
09.11.2006 21:58 126.946 GAMEGUARD.DES-101C84C9.pf
09.11.2006 21:58 148.956 GAMEMON.DES-25A6A3B1.pf
09.11.2006 21:58 71.866 L2.EXE-087D32D9.pf
09.11.2006 21:58 63.742 LINEAGEII.EXE-170B6D8F.pf
09.11.2006 17:12 19.076 ICQ STATUS CHECKER.EXE-2FE21532.pf
09.11.2006 11:04 13.322 UIC.EXE-055DD283.pf
08.11.2006 21:06 124.806 FIREFOX.EXE-17EE503B.pf
08.11.2006 17:46 73.002 UPDATER.EXE-0441B243.pf
05.11.2006 19:57 10.996 HPZENG07.EXE-3732AEC1.pf
05.11.2006 00:26 40.332 SETUP_WM.EXE-19AC5A9B.pf
04.11.2006 15:02 57.638 RUNDLL32.EXE-2DFEF03E.pf
04.11.2006 14:49 47.640 RUNDLL32.EXE-26DA8C9B.pf
04.11.2006 12:27 90.276 RUNDLL32.EXE-2E0FDD21.pf
72 Datei(en) 5.365.678 Bytes
0 Verzeichnis(se), 59.106.721.792 Bytes frei

Verzeichnis von C:\WINDOWS

20.11.2006 06:59 6.018 ModemLog_Bluetooth Fax Modem.txt
20.11.2006 06:59 6.014 ModemLog_Bluetooth Modem.txt
20.11.2006 06:59 2.074 ModemLog_Bluetooth Null Modem.txt
20.11.2006 06:59 0 0.log
20.11.2006 06:59 1.853.281 WindowsUpdate.log
20.11.2006 06:59 159 wiadebug.log
20.11.2006 06:58 50 wiaservc.log
20.11.2006 06:58 2.048 bootstat.dat
20.11.2006 06:57 32.610 SchedLgU.Txt
19.11.2006 15:10 116 NeroDigital.ini
19.11.2006 15:09 54.156 QTFont.qfn
05.11.2006 00:26 304.578 wmsetup.log
07.10.2006 09:25 1.006.557 setupapi.log

Verzeichnis von C:\WINDOWS\tasks

20.11.2006 06:58 6 SA.DAT
17.11.2006 17:16 402 1-Klick-Wartung.job
11.08.2003 13:00 65 desktop.ini
3 Datei(en) 473 Bytes
0 Verzeichnis(se), 59.106.713.600 Bytes frei

Verzeichnis von C:\WINDOWS\temp

03.11.2006 16:45 65.040 BPS_fontinfo.dat
17.09.2006 21:03 1.620 Upd7E.tmp
20.07.2006 15:01 796 hpzcoi07.log

Verzeichnis von C:\DOKUME~1\Thybalds\LOKALE~1\Temp

20.11.2006 06:59 74.538 jusched.log
18.11.2006 16:59 9.568 java_install_reg.log
16.11.2006 21:33 0 CacheInfo.dnl
16.11.2006 21:20 3 Twain001.Mtx
4 Datei(en) 84.109 Bytes
0 Verzeichnis(se), 59.106.709.504 Bytes frei

hoffe das hilft weiter und das sys ist noch sauber :-9
thx

mfg THY

**Ruby** · 20.11.2006, 21:18

Servus Thybald

dein Problem dürfte darin liegen, dass du ein veraltetes Betriebssystem und eine veraltete Version des Internet Explorers verwendest: Der Standard

Betriebsysteme im Sicherheitstest - Windows XP SP1 überlebt vier Minuten. Bei Windows XP SP1 dauert es vier Minuten bis zur ersten erfolgreichen Attacke - 341 Angriffe pro Stunde

Lade den CCleaner runter, setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen und drücke dann auf "Starte Cleaner". Häkchen raus bei der Yahoo Toolbar.

Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der -> mwav.exe <- diesen Link verwenden!
3) Entpacke die Datei (mit einem Zip-Programm WinZip) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:

8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen,
hier gibst du "tagged as" und "infected as" ein:

-> jede Zeile in der "tagged as" steht.
-> jede Zeile in der "infected" steht,

markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Poste das Ergebnis des Scan und ein neues HJT-Logfile.

**Thybald** · 21.11.2006, 20:20

schonmal großes dankeschön für deine, eure hilfe, hat leider bischen gedauert, aber hier nun nach cclean die escans

Tue Nov 21 19:23:24 2006 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.*
Tue Nov 21 20:16:39 2006 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.*
Tue Nov 21 21:10:03 2006 => Total Number of Disinfected Files: 0
Tue Nov 21 19:27:11 2006 => File C:\Dokumente und Einstellungen\Thybalds\Desktop\SmitfraudFix\Reboot.exe tagged as
Tue Nov 21 19:47:55 2006 => File C:\Programme\mIRC\backup\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.612. No Action Taken.
Tue Nov 21 19:47:55 2006 => File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Tue Nov 21 20:19:53 2006 => File C:\Dokumente und Einstellungen\Thybalds\Desktop\SmitfraudFix\Reboot.exe tagged as
Tue Nov 21 20:40:45 2006 => File C:\Programme\mIRC\backup\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.612. No Action Taken.
Tue Nov 21 20:40:46 2006 => File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.

und ne neue hjt

Logfile of HijackThis v1.99.1
Scan saved at 21:26:27, on 21.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_01\bin\jucheck.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\Ad-aware 6\Ad-watch.exe
C:\Programme\Bluetooth Software\BTStackServer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TightVNC\vncviewer.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Dokumente und Einstellungen\Thybalds\Desktop\HijackThis.exe

R3 - Default URLSearchHook is missing
O1 - Hosts: 212.227.62.163 l2testauthd.lineage2.com
O1 - Hosts: 212.227.62.163 l2testauthd.lineage2.com
O1 - Hosts: 212.227.62.163 l2testauthd.lineage2.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9D9A7350-46C9-4E3C-92EF-382B5740A1C3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: Ad-watch 3.0.lnk = C:\Programme\Ad-aware 6\Ad-watch.exe
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1131266050367
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

mfg THY

**Ruby** · 22.11.2006, 13:48

Hallo Thybald

öffne bitte die mwav.log aus dem Ordner C:\bases und zeige uns dieses Ergebnis mit den dort eingefüllten Einträgen:

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Folge dann bitte dieser Anleitung:

Wir untersuchen dein System nun auf Dateien und Prozesse, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
nichts am Rechner getan werden

Blacklight scannen lassen

Lade bitte F-Secure Blacklight runter packe dieDatei in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
Klick "I accept the agreement", "next", "Scan".
Wenn der Scan fertig ist beende Blacklight mit "Close".
Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

RootkitRevealer scannen lassen

Lade bitte RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen.
Starte durch Klick auf "Scan".
Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun bitte diese beiden Logfiles posten.

-----------------------
Bitte den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems
kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
Keine Up und Downloads, ausser auf Security Seiten.
Nach Beendigung der Reinigungsarbeiten
müssen alle auf diesem System gespeicherten Passworte durch neue PWs ersetzt werden.
Mehr Information zum Thema unter System-Sicherheit
-----------------------

**Thybald** · 22.11.2006, 17:07

sodele

Tue Nov 21 21:10:03 2006 => Total Number of Files Scanned: 91534
Tue Nov 21 21:10:03 2006 => Total Number of Virus(es) Found: 6
Tue Nov 21 21:10:03 2006 => Total Number of Disinfected Files: 0
Tue Nov 21 21:10:03 2006 => Total Number of Files Renamed: 0
Tue Nov 21 21:10:03 2006 => Total Number of Deleted Files: 0
Tue Nov 21 21:10:03 2006 => Total Number of Errors: 57
Tue Nov 21 21:10:03 2006 => Time Elapsed: 01:49:44
Tue Nov 21 21:10:03 2006 => Virus Database Date: 2006/11/21
Tue Nov 21 21:10:03 2006 => Virus Database Count: 243394

Tue Nov 21 21:10:03 2006 => Scan Completed.

**Ruby** · 22.11.2006, 21:27

Danke @ Thybald

... die Logfiles der ersten beiden AntiRootkit Scanner...

**Thybald** · 24.11.2006, 19:10

opalla, hier die blb
11/24/06 19:46:35 [Info]: BlackLight Engine 1.0.47 initialized
11/24/06 19:46:35 [Info]: OS: 5.1 build 2600 (Service Pack 1)
11/24/06 19:46:35 [Note]: 7019 4
11/24/06 19:46:35 [Note]: 7005 0
11/24/06 19:47:01 [Note]: 7006 0
11/24/06 19:47:01 [Note]: 7011 1284
11/24/06 19:47:01 [Note]: 7026 0
11/24/06 19:47:02 [Note]: 7026 0
11/24/06 19:47:10 [Note]: FSRAW library version 1.7.1020
11/24/06 19:52:23 [Note]: 2000 1012
11/24/06 19:58:56 [Note]: 7006 0
11/24/06 19:58:56 [Note]: 7011 1284
11/24/06 19:58:57 [Note]: 7026 0
11/24/06 19:58:57 [Note]: 7026 0
11/24/06 19:58:59 [Note]: FSRAW library version 1.7.1020
11/24/06 20:04:07 [Note]: 2000 1012
11/24/06 20:05:01 [Note]: 7007 0

und hier der rootkit

HKU\S-1-5-21-527237240-839522115-1343024091-1003\Software\Microsoft\Keyboard\Native Media Players\QuickTime Player\ExePath 28.01.2006 19:21 45 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC* 08.02.2005 19:29 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 08.02.2005 19:29 0 bytes Key name contains embedded nulls (*)
C:\Dokumente und Einstellungen\Thybalds\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat .LOG:KAVICHS 24.11.2006 19:22 36 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Thybalds\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat :KAVICHS 12.02.2006 18:36 36 bytes Hidden from Windows API.
C:\WINDOWS\system32\CatRoot2\tmp.edb 24.11.2006 20:07 1.01 MB Visible in Windows API, but not in MFT or directory index.

mfg Thy

**Ruby** · 25.11.2006, 04:50

Hallo Thybald

Hier nun bitte zwei weitere Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
nichts am Rechner getan werden

Sophos scannen lassen

Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist (Wichtig: "Show all" darf nicht angehakt sein) und starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun alle Logs posten.

-----------------------
Bitte den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems
kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
Keine Up und Downloads, ausser auf Security Seiten.
Nach Beendigung der Reinigungsarbeiten
müssen alle auf diesem System gespeicherten Passworte durch neue PWs ersetzt werden.
Mehr Information zum Thema unter System-Sicherheit
-----------------------

Thema: rechner verhält sichteil merkwürdig

Themen-Optionen

rechner verhält sichteil merkwürdig

AW: rechner verhält sichteil merkwürdig

AW: rechner verhält sichteil merkwürdig

AW: rechner verhält sichteil merkwürdig

AW: rechner verhält sichteil merkwürdig

AW: rechner verhält sichteil merkwürdig

AW: rechner verhält sichteil merkwürdig

AW: rechner verhält sichteil merkwürdig

AW: rechner verhält sichteil merkwürdig

AW: rechner verhält sichteil merkwürdig

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

rechner lahmt

PC verhält ich manchmal merkwürdig

Hilfe!! Mein Notebook verhält sich eigenartig

sehr sehr merkwürdig...

Lahmer Rechner

Berechtigungen