Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: svchost.exe, explorer.exe und winlogon reg key

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.08.2007, 17:03   #1
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Hallo,

ich bin neu hier und habe noch nicht so viel Ahnung von Viren etc. Ich habe folgendes Problem.

Ich habe ein selbstentpackendes Archiv geöffnet und der Inhalt wurde auch entpackt.

Beim nächsten Starten kam ein Fenster mit dem Titel: "Persönliche Einstellungen" und darin der Text: "Einstellungen für svchost". Der PC war sehr ausgelastet, ich habe den Task-Manager geöffnet. Es waren mehrere svchost.exe aktiv, 2 von ihnen mit 150 - 600 MB Größe! Ich habe die Dienste dann beendet. Sie starteten öfters neu, irgendwann war dann ruhe.

Des Weiteren ist mir aufgefallen, dass mein avguard nicht mehr in den aktiven Zustand gestartet wurde. Das Fenster mit "Persönliche Einstellungen" startet auch, wenn ich den Dienst explorer beende und neu starte. Das Archiv und die entpackten Dateien habe ich natürlich gelöscht.

Antivir hatte auch etwas gefunden und behoben, ich weiß aber nicht mehr was. Jedenfalls blieb das Problem bestehen. Adaware hat einen Reg-Eintrag gefunden: HKLM/software/microsoft/windowsnt/currentversion/winlogon/shell (svchost.exe explorer.exe). Aber nach einem Neustart ist das auch wieder da. Systemwiederherstellung ist ausgeschaltet.

Spybot hat dann auch noch paar sachen gefunden, so etwas wie antiviroverride und firewall-aus-dinger.... schätze mal, dass die nach einem Neustart auch wieder da sind. habe nach dem Suchlauf mit den zwei Programmen nun ein HJT logfile erstellt, siehe unten.

Zusammenfassend kann man sagen, dass ich irgendein Dings habe, dass beim hochfahren und starten von explorer.exe ein Programm läd, wodurch dann svchosts geöffnet werden die unheimlich viele Ressourchen brauchen, dazu meine Firewall wohl ausgestellt und das Virenprogramm deaktiviert wird.

Ich hoffe, mir kann jemand helfen. Wenn ich den Rechner starte und direkt die ganzen svchosts beende und den explorer.exe neu starte kann ich mit dem rechner wenigstens noch normal arbeiten...

hier das logfile (nach dem Suchlauf von adawrare und spybot):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:00, on 29.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\dlcccoms.exe
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WinTV\WinTV2K.EXE
C:\Dokumente und Einstellungen\Giuliano\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dellsearchedit.myway.com/samisc/dellsidebar.jhtml?p=EC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll
F3 - REG:win.ini: run=C:\WINDOWS\svchost.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCS] "C:\Programme\Pinnacle\Shared Files\\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [TrustInstaller] "D:\Setup.EXE"
O4 - HKLM\..\Run: [dlccmon.exe] "C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {47CEF84E-92D8-4C4A-86D7-CB982889DCC0} (Oberon Media Network Optimizer) - http://mp1.mplay.oberon-media.com/client/flashnet.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C36CC678-DC13-43E7-B187-2BB24A691EF3}: NameServer = 134.245.10.7,134.245.1.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: dlcc_device - - C:\WINDOWS\system32\dlcccoms.exe
O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Programme\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8446 bytes


Also danke schomal für Eure Mühen!!!!!!!!!!!!!!!!!!!

Alt 29.08.2007, 18:04   #2
Majinprey
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Hi,

Ich bin in so sachen auch nicht grad der Checker aber du kannst dir mal eScan[URL="http://tinyurl.com/2bbomw"] downloaden oder eine der befallenen Dateien bei Virustotal http://www.virustotal.com/ prüfen lassen.

mfg

Majinprey
__________________


Alt 29.08.2007, 18:10   #3
Majinprey
 
svchost.exe, explorer.exe und winlogon reg key - Icon17

svchost.exe, explorer.exe und winlogon reg key



ftp://update.mailscan.info/download/tools/mwav.exe

so hier gehts zu eScan sorry ging leicht daneben

PS. Die Anleitung gibt´s im Forum
__________________

Alt 29.08.2007, 18:55   #4
undoreal
/// AVZ-Toolkit Guru
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Hallo Jeepl.


-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Blacklight sowie Silentrunners laufen und poste die logFiles..


-Fixe mit HJT folgende Einträge:

Zitat:
* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://dellsearchedit.myway.com/samisc/dellsidebar.jhtml?p=EC *
* F3 - REG:win.ini: run=C:\WINDOWS\svchost.exe *
* O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll *
* O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) *
* O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\svchost.exe *
* O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\svchost.exe *
* O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\svchost.exe *
* O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) *
* O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) *
* O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) *
* O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) *
* O16 - DPF: {47CEF84E-92D8-4C4A-86D7-CB982889DCC0} (Oberon Media Network Optimizer) - h**p://mp1.mplay.oberon-media.com/client/flashnet.cab *
-Run Combofix. Poste den erscheinenden Text.

-Lasse CWS arbeiten.

-Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.


Gruß

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 29.08.2007, 19:10   #5
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Alter Schwede, dann werde ich das morgen mal machen, da hab ich ja einiges zu tun. Alles nur wegen dem einen selbstentpackenden Teil oder einfach, weil bei mir soo viel Müll drauf is?

Aber danke für die ausführliche und schnelle Antwort, hoffe, dass sie die gewünschte Wirkung hat!


Alt 29.08.2007, 20:23   #6
undoreal
/// AVZ-Toolkit Guru
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Zitat:
hoffe, dass sie die gewünschte Wirkung hat!
das hoffe ich auch
__________________
--> svchost.exe, explorer.exe und winlogon reg key

Alt 30.08.2007, 16:17   #7
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Hi, ich habe Deine To-Do-List abgearbeitet
hier schrittweise die Ergebnisse:

Systemwiederherstellung aus - gemacht
Java löschen - gemacht

Blacklight: hat nichts gefunden

Silentrunners logfile:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"SetDefaultMIDI" = "MIDIDef.exe" [file not found]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ehTray" = "C:\WINDOWS\ehome\ehtray.exe" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"IAAnotif" = "C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" ["Intel Corporation"]
"DLA" = "C:\WINDOWS\System32\DLA\DLACTRLW.EXE" ["Sonic Solutions"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"PinnacleDriverCheck" = "C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg" [empty string]
"PMCS" = ""C:\Programme\Pinnacle\Shared Files\\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug" [file not found]
"SigmatelSysTrayApp" = "stsystra.exe" ["SigmaTel, Inc."]
"DLCCCATS" = "rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16" [MS]
"TrustInstaller" = ""D:\Setup.EXE"" [file not found]
"dlccmon.exe" = ""C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe"" ["Dell"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"Windows Update" = "C:\WINDOWS\svchost.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Windows Update" = "C:\WINDOWS\svchost.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\ {++}
"Windows Update" = "C:\WINDOWS\svchost.exe" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]
{8b15971b-5355-4c82-8c07-7e181ea07608}\(Default) = "Fax"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser" [MS]
{94de52c8-2d59-4f1b-883e-79663d2d9a8c}\(Default) = "Fax Provider"
\StubPath = "rundll32.exe C:\WINDOWS\system32\Setup\FxsOcm.dll,XP_UninstallProvider" [MS]
{FB1B3E04-E00F-BF07-CD20-A6C00B06E80F}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\svchost.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{4D25F921-B9FE-4682-BF72-8AB8210D6D75}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll" ["MyWay.com"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{5CA3D70E-1895-11CF-8E15-001234567890}\(Default) = "*b" (unwritable string)
-> {HKLM...CLSID} = "DriveLetterAccess"
\InProcServer32\(Default) = "C:\WINDOWS\System32\DLA\DLASHX_W.DLL" ["Sonic Solutions"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"
-> {HKLM...CLSID} = "DriveLetterAccess"
\InProcServer32\(Default) = "C:\WINDOWS\System32\DLA\DLASHX_W.DLL" ["Sonic Solutions"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\OLKFSTUB.DLL" [MS]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "run" = "C:\WINDOWS\svchost.exe" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Shell" = "Explorer.exe svchost.exe" [MS], [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"WizmaxBackup_NoDriveTypeAutoRun" = (REG_DWORD) hex:0x00000091
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoCDBurning" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"InstallVisualStyle" = (REG_EXPAND_SZ) C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
{unrecognized setting}

"InstallTheme" = (REG_EXPAND_SZ) C:\WINDOWS\Resources\Themes\Royale.theme
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Giuliano\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Giuliano" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"AutoStart IR" -> shortcut to: "C:\Programme\WinTV\Ir.exe /QUIET" ["Hauppauge Computer Works"]


Enabled Scheduled Tasks:
------------------------

"ISP-Anmeldungserinnerung 1" -> launches: "C:\WINDOWS\system32\OOBE\oobebaln.exe /sys /i /n:1" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\WINDOWS\system32\pnrpnsp.dll" [MS]
000000000005\LibraryPath = "C:\WINDOWS\system32\pnrpnsp.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 30
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [file not found]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{4D25F926-B9FE-4682-BF72-8AB8210D6D75}" = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll" ["MyWay.com"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.exe" ["Creative Technology Ltd"]
dlcc_device, dlcc_device, "C:\WINDOWS\system32\dlcccoms.exe -service" [" "]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\system32\tcpsvcs.exe" [MS]
Intel(R) Matrix Storage Event Monitor, IAANTMon, "C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe" ["Intel Corporation"]
IPv6-Hilfsdienst, 6to4, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\6to4svc.dll" [MS]}
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
Media Center Extender Service, McrdSvc, "C:\WINDOWS\ehome\mcrdsvc.exe" [MS]
Media Center Receiver Service, ehRecvr, "C:\WINDOWS\eHome\ehRecvr.exe" [MS]
Media Center-Planerdienst, ehSched, "C:\WINDOWS\eHome\ehSched.exe" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
RIP-Überwachung, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]}


Keyboard Driver Filters:
------------------------

HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = <<!>> "ELkbd" ["Intel Corporation"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor PIXMA iP2000\Driver = "CNMLM66.DLL" ["CANON INC."]
Dell 924 Port\Driver = "dlcclmpm.DLL" [" "]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2007-08-30 09:01:39)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 135 seconds.
---------- (total run time: 224 seconds)

Alt 30.08.2007, 16:18   #8
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



dann die Einträge im HJT fixen - gemacht.

dann Combofix, dort erhielt ich zwei Dateien, zum einen das Log und zum anderen die Dateien, die in Quarantäne verschoben wurden:

Logfile:

ComboFix 07-08-30.2 - "Giuliano" 2007-08-30 9:14:54.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.581 [GMT 2:00]


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\ADMINI~1\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\config\SYSTEM~1\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_IPRIP
-------\Iprip


((((((((((((((((((((((((( Files Created from 2007-07-28 to 2007-08-30 )))))))))))))))))))))))))))))))


2007-08-30 09:13 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-29 17:09 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-08-28 22:29 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-08-18 22:15 <DIR> d-------- C:\CloneDVDTemp
2007-08-18 22:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Elaborate Bytes
2007-08-18 22:09 <DIR> d-------- C:\Programme\Elaborate Bytes
2007-08-10 21:56 93,128 --a------ C:\WINDOWS\system32\ElbyCDIO.dll
2007-08-08 18:44 545,280 --a------ C:\WINDOWS\system32\dllcache\dialer.exe
2007-08-08 18:44 13,312 --a------ C:\WINDOWS\system32\dllcache\htrn_jis.dll
2007-08-08 18:37 33,792 --a------ C:\WINDOWS\system32\lmmib2.dll
2007-08-08 18:37 33,792 --a------ C:\WINDOWS\system32\dllcache\lmmib2.dll
2007-08-08 18:37 <DIR> d-------- C:\WINDOWS\system32\msmq
2007-08-08 18:37 <DIR> d-------- C:\Inetpub
2007-08-07 21:48 25,160 --a------ C:\WINDOWS\system32\drivers\ElbyCDIO.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-30 09:15 --------- d-------- C:\DOKUME~1\Giuliano\ANWEND~1\Skype
2007-08-30 08:29 --------- d-------- C:\Programme\Dl_cats
2007-08-28 22:28 --------- d-------- C:\Programme\Eselchen
2007-08-22 06:06 --------- d-------- C:\Programme\ICQ6
2007-08-20 15:55 --------- d-------- C:\Programme\Nortel Networks
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-07-19 08:56 3583488 --a------ C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-16 10:42 --------- d-------- C:\Programme\EndNote
2007-07-13 01:30 765952 --a------ C:\WINDOWS\system32\dllcache\vgx.dll
2007-07-09 16:27 --------- d-------- C:\Programme\Microsoft Works
2007-07-09 15:50 --------- d-------- C:\Programme\Dell
2007-07-09 15:30 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-07-09 15:29 --------- d-------- C:\Programme\Winamp
2007-06-30 11:29 --------- d-------- C:\Programme\SlySoft
2007-06-27 16:05 823808 --a------ C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 16:05 671232 --a------ C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 16:05 52224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-06-27 16:05 477696 --a------ C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-27 16:05 459264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-06-27 16:05 27648 --a------ C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-27 16:05 232960 --------- C:\WINDOWS\system32\dllcache\webcheck.dll
2007-06-27 16:05 193024 --a------ C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-27 16:05 1152000 --a------ C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-27 16:05 105984 --------- C:\WINDOWS\system32\dllcache\url.dll
2007-06-27 16:05 102400 --------- C:\WINDOWS\system32\dllcache\occache.dll
2007-06-27 16:04 6058496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-06-27 16:04 44544 --------- C:\WINDOWS\system32\dllcache\iernonce.dll
2007-06-27 16:04 384512 --------- C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-06-27 16:04 383488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-06-27 16:04 267776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-06-27 16:04 230400 --------- C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-06-27 16:04 153088 --------- C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-06-27 16:04 132608 --a------ C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-27 16:04 124928 --a------ C:\WINDOWS\system32\dllcache\advpack.dll
2007-06-27 10:27 63488 --------- C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-06-27 10:27 13824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-06-27 10:26 625152 --a------ C:\WINDOWS\system32\dllcache\iexplore.exe
2007-06-27 09:00 161792 --------- C:\WINDOWS\system32\dllcache\ieakui.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:08 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\system32\dllcache\explorer.exe
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2006-12-01 21:27 10587921 --a------ C:\Programme\GraphPad.Prism.4.0+Serial.rar
2006-05-23 20:53 1279 --a------ C:\Programme\INSTALL.LOG
2006-03-20 22:07 5693440 --a------ C:\Programme\mplayerc.exe
2003-02-26 19:02 13712184 --a------ C:\Programme\nero55107b.exe
2006-05-21 21:58:14 88 --sh--r C:\WINDOWS\system32\9F02945EC7.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 15:01]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-14 21:51]
"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-06-17 08:56]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 06:20]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-19 12:26]
"C-Media Mixer"="Mixer.exe" [2002-07-13 00:33 C:\WINDOWS\mixer.exe]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 17:06]
"PMCS"="C:\Programme\Pinnacle\Shared Files\\Programs\MediaCenterService\PMC.Service.Main.exe" []
"SigmatelSysTrayApp"="stsystra.exe" [2005-03-23 01:20 C:\WINDOWS\stsystra.exe]
"DLCCCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll" [2005-09-14 01:50]
"TrustInstaller"="D:\Setup.EXE" []
"dlccmon.exe"="C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe" [2005-10-21 03:40]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 15:00]
"SetDefaultMIDI"="MIDIDef.exe" []
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-08-08 17:03]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"SchedulingAgent"=C:\WINDOWS\system32\mstask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative Detector]
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]
C:\Programme\Dell\Media Experience\DMXLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKDetectorExe]
C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCTV 310i Antenna Power]
"C:\Programme\Pinnacle\Shared Files\Drivers\Tools\PCTV 310i Antenna Power.exe" /silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoiceCenter]
"C:\Programme\Creative\VoiceCenter\AndreaVC.exe" /tray

R3 Eacfilt;Eacfilt Miniport;C:\WINDOWS\system32\DRIVERS\eacfilt.sys
R3 IPSECSHM;Nortel IPSECSHM Adapter;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys
R3 pctvnet;Pinnacle PCTV Ethernet Driver;C:\WINDOWS\system32\DRIVERS\pctvnet.sys
R3 sigfilt;sigfilt;C:\WINDOWS\system32\drivers\sigfilt.sys
S3 3xHybrid;Pinnacle PCTV 310i Stereo DVB-T;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 IPSECEXT;Nortel Extranet Access Protocol;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe -k p2psvc
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\system32\svchost.exe -k p2psvc
S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe -k p2psvc
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe -k p2psvc

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89407eda-6042-11db-81a9-00308d000000}]
AutoRun\command- J:\autorun.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{FB1B3E04-E00F-BF07-CD20-A6C00B06E80F}]
C:\WINDOWS\svchost.exe

Contents of the 'Scheduled Tasks' folder
2006-05-20 19:30:00 C:\WINDOWS\Tasks\ISP-Anmeldungserinnerung 1.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-30 09:17:14
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-30 9:18:32 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-30 09:18

--- E O F ---



Quarantänedateien:

Code:
ATTFilter
2005-08-20 02:06      663    --a------    C:\Qoobox\Quarantine\C\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft\Internet Explorer\Quick Launch\INTERN~1.LNK.vir
2005-08-20 02:06      663    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\config\SYSTEM~1\ANWEND~1\Microsoft\Internet Explorer\Quick Launch\INTERN~1.LNK.vir
2007-03-30 02:09      152668699    --a------    C:\Qoobox\Quarantine\C\WINDOWS\svchost.exe.vir
2007-08-30 06:02      218551    --a------    C:\Qoobox\Quarantine\C\ComboFix\ComboFix.bat.vir
2007-08-30 09:15      1022    --a------    C:\Qoobox\Quarantine\Registry_backups\LEGACY_IPRIP.reg.cf
2007-08-30 09:15      3714    --a------    C:\Qoobox\Quarantine\Registry_backups\services_Iprip.reg.cf
2007-08-30 09:18      618739    --a------    C:\Qoobox\snapshot_2007-08-30_ 91818.67.cf


Auflistung der Ordnerpfade
Volumenummer: 00080188 6838:CFFE
C:\QOOBOX
|   snapshot_2007-08-30_ 91818.67.cf
|   
\---Quarantine
    +---C
    |   +---ComboFix
    |   |       ComboFix.bat.vir
    |   |       
    |   +---DOKUME~1
    |   |   \---ADMINI~1
    |   |       \---ANWEND~1
    |   |           \---Microsoft
    |   |               \---Internet Explorer
    |   |                   \---Quick Launch
    |   |                           INTERN~1.LNK.vir
    |   |                           
    |   \---WINDOWS
    |       |   svchost.exe.vir
    |       |   
    |       \---system32
    |           \---config
    |               \---SYSTEM~1
    |                   \---ANWEND~1
    |                       \---Microsoft
    |                           \---Internet Explorer
    |                               \---Quick Launch
    |                                       INTERN~1.LNK.vir
    |                                       
    \---Registry_backups
            LEGACY_IPRIP.reg.cf
            services_Iprip.reg.cf
         

Alt 30.08.2007, 16:20   #9
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



dann CWS - hat nichts gefunden

dann die zwei Suchläufe mit Lavasoft, Spybot und Antivir - gemacht

dann mit CCleaner aufräumen - gemacht

dann neues HJT log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:29:35, on 30.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dlcccoms.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Giuliano\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [TrustInstaller] "D:\Setup.EXE"
O4 - HKLM\..\Run: [dlccmon.exe] "C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C36CC678-DC13-43E7-B187-2BB24A691EF3}: NameServer = 134.245.10.7,134.245.1.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: dlcc_device - - C:\WINDOWS\system32\dlcccoms.exe
O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Programme\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6638 bytes

Alt 30.08.2007, 16:21   #10
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



so, fast fertig, hier noch der iClean-Bericht:

iclean log 30.08.2007 14:31:06

Windows XP SP2, Using advanced Kernel functions

Processes
---------
1808 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
1856 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
1880 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
1924 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
1936 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
404 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
448 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
920 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
980 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1180 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
844 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
508 - C:\WINDOWS\Explorer.EXE - Windows Explorer
664 - C:\WINDOWS\ehome\ehtray.exe - Media Center Tray Applet
688 - C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe - Event Monitor User Notification Tool
708 - C:\WINDOWS\System32\DLA\DLACTRLW.EXE - Drive Letter Access Component
720 - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
732 - C:\WINDOWS\Mixer.exe - Mixer
768 - C:\WINDOWS\stsystra.exe - Sigmatel Audio system tray application
1160 - C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe - DellDevice Monitor
1176 - C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe - Adobe Acrobat SpeedLauncher (Signed)
1136 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
1220 - C:\Programme\ICQ6\ICQ.exe - ICQ Library (Signed)
1268 - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
1296 - C:\Programme\WinTV\Ir.exe - IR
1520 - C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1540 - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service
1552 - C:\WINDOWS\system32\CTsvcCDA.exe - Creative Service for CDROM Access
1600 - C:\WINDOWS\eHome\ehRecvr.exe - Media Center Receiver Service
1612 - C:\WINDOWS\eHome\ehSched.exe - Media Center-Planerdienst
1760 - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe - RAID Monitor
1748 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 82.65
1064 - C:\WINDOWS\system32\tcpsvcs.exe - TCP/IP Services Application
1120 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1008 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2316 - C:\WINDOWS\ehome\mcrdsvc.exe - MCRD Device Service
2328 - C:\WINDOWS\system32\wbem\wmiprvse.exe - WMI
2824 - C:\WINDOWS\system32\dlcccoms.exe - Printer Communication System
3280 - C:\WINDOWS\eHome\ehmsas.exe - Media Center Media Status Aggregator Service
1236 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
892 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed)
3844 - C:\Dokumente und Einstellungen\Giuliano\Desktop\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\svchost.exe=6to4
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\antivir personaledition classic\sched.exe=AntiVirScheduler
c:\programme\antivir personaledition classic\avguard.exe=AntiVirService
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=Browser
c:\windows\system32\ctsvccda.exe=Creative Service for CDROM Access
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
c:\windows\system32\dlcccoms.exe=dlcc_device
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
c:\windows\ehome\ehrecvr.exe=ehRecvr
c:\windows\ehome\ehsched.exe=ehSched
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
c:\programme\intel\intel matrix storage manager\iaantmon.exe=IAANTMon
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
c:\windows\ehome\mcrdsvc.exe=McrdSvc
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\tcpsvcs.exe=SimpTcp
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
C:\WINDOWS\system32\svchost.exe=w32time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: ICQ="c:\programme\icq6\icq.exe" silent
000=HKCU\Run: SetDefaultMIDI=mididef.exe
000=HKCU\Run: SpybotSD TeaTimer=c:\programme\spybot - search & destroy\teatimer.exe
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: avgnt="c:\programme\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: C-Media Mixer=c:\windows\mixer.exe
000=HKLM\Run: DLA=c:\windows\system32\dla\dlactrlw.exe
000=HKLM\Run: DLCCCATS=rundll32 c:\windows\system32\spool\drivers\w32x86\3\dlcctime.dll
000=HKLM\Run: dlccmon.exe="c:\programme\dell photo aio printer 924\dlccmon.exe"
000=HKLM\Run: ehTray=c:\windows\ehome\ehtray.exe
000=HKLM\Run: IAAnotif=c:\programme\intel\intel matrix storage manager\iaanotif.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: PinnacleDriverCheck=c:\windows\system32\psdrvcheck.exe
000=HKLM\Run: SigmatelSysTrayApp=c:\windows\stsystra.exe
000=HKLM\Run: TrustInstaller="d:\setup.exe"
000=HKLM\RunServices: SchedulingAgent=c:\windows\system32\mstask.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: UPnPMonitor=c:\windows\system32\upnpui.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll ()
030=BHO: {5CA3D70E-1895-11CF-8E15-001234567890}=c:\windows\system32\dla\dlashx_w.dll (DriveLetterAccess)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: ITBar7Layout=(null)

Startup Folders
---------------
Common: autostart ir.lnk -> C:\PROGRA~1\WinTV\Ir.exe
Common: desktop.ini
Personal: desktop.ini

HOSTS
-----
127.0.0.1 localhost

Alt 30.08.2007, 16:24   #11
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



jetzt noch das eScan: wenn ich das find.bat ausführe, dann erhalte ich nur das hier in der escan_neu, obwohl angeblich 9 viren gefunden wurden:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.1
Sprache: German
Virus-Datenbank Datum: 8/30/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 17:01:10,51
Batchende: 17:01:12,28

Alt 30.08.2007, 16:25   #12
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



daher hier noch das, was das Programm eScan während dem Laufen anzeigt:

File C:\Dokumente und Einstellungen\Giuliano\Desktop\backups\backup-20070830-091230-367.dll markiert als "not-a-virus:AdWare.Win32.MyWay.v". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ACD.3D" verweist auf das ungültige Objekt "{00046DAD-0000-0000-C000-000000000046}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ACD.ChemSketch.20" verweist auf das ungültige Objekt "{000465EC-0000-0000-C000-000000000046}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\CorelPhotoAlbumPhoto" verweist auf das ungültige Objekt "{9824EE63-01DC-11D0-9BEA-00A0246FD2EF}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\FlashNet.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt ""C:\Programme\Java\j2re1.4.2_03\javaws\javaws.exe"". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt ""C:\Programme\Java\jre1.5.0_03\bin\javaws.exe"". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt ""C:\Programme\Java\jre1.5.0_06\bin\javaws.exe"". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt ""C:\Programme\Java\jre1.5.0_09\bin\javaws.exe"". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\PROGRA~1\INCRED~1\bin\ImpCnt.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt ""C:\Programme\Java\jre1.6.0_01\bin\javaws.exe"". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".sk2". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Giuliano\Desktop\backups\backup-20070830-091230-367.dll markiert als "not-a-virus:AdWare.Win32.MyWay.v". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Alt 30.08.2007, 16:28   #13
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



also undoreal, ich hoffe, Du kannst damit was anfangen. Der Virus macht sich jetzt beim Starten nicht mehr bemerkbar, aber wäre trotzdem nett, wenn Du "kurz" durchschaust, ob alles normal aussieht....

Lieber Gruß!

Alt 30.08.2007, 22:29   #14
undoreal
/// AVZ-Toolkit Guru
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Hallo jeepl. Schö, das du alles so sorgfälltig ausgeführt hast.

Deine logs sehen gut aus. Schau dir die Dateien die im eScan Bericht auftauchen genau an. Wenn es keine Daten sind denen du 100%tig vertraust und du gerne sichern möchtest dann lasse eScan noch einmal laufen. Genau so wie in der Anleitung beschrieben aber ohne das Häkchen bei "Scan only" zu setzen. Dadurch werden alle Einträge gelöscht.

PS: Poste bitte abschließend noch ein frisches silentrunners logfile dann kann ich dich beruhigt entlassen..

Gruß

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 31.08.2007, 11:15   #15
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Hi,
ich kann das Häkchen nicht deaktivieren, das geht wohl nur bei der Vollversion, oder?

Gruß Jeepl

Antwort

Themen zu svchost.exe, explorer.exe und winlogon reg key
adobe, ausgelastet, avira, bho, desktop, drivers, einstellungen, excel, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mehrere, monitor, mozilla, mozilla firefox, neustart, nvidia, rundll, s-1-5-18, starten, suchlauf, svchost, svchost.exe, task-manager, trend micro, urlsearchhook, viren, virenprogramm deaktiviert, windows xp



Ähnliche Themen: svchost.exe, explorer.exe und winlogon reg key


  1. svchost.exe ( Svchost Prozess Analyser)
    Log-Analyse und Auswertung - 23.09.2011 (7)
  2. svchost.exe / Internet Explorer/Google leitet um
    Log-Analyse und Auswertung - 25.02.2011 (7)
  3. Winlogon.exe hat vermutlich Virus. Explorer.exe spielt verrückt.
    Plagegeister aller Art und deren Bekämpfung - 31.01.2011 (1)
  4. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  5. TR/Patched.GR.10 in explorer.exe & TR/Patched.KL.238 in winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  6. Explorer.exe: TR/Spy.1035264.7; winlogon.exe: TR/Spy.507392.8
    Log-Analyse und Auswertung - 12.10.2010 (14)
  7. Win32.Loader.O (DB) in C:\WINDOWS\SYSTEM32\WINLOGON.EXE und C:\WINDOWS\Explorer.EXE
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (3)
  8. Antivir zeigt winlogon,svchost und mehr als virus!
    Plagegeister aller Art und deren Bekämpfung - 10.09.2009 (1)
  9. explorer.exe & svchost.exe
    Log-Analyse und Auswertung - 03.02.2009 (0)
  10. trojaner-backdoor versendet mails über svchost / winlogon
    Plagegeister aller Art und deren Bekämpfung - 02.06.2008 (5)
  11. svchost und explorer.exe nutzen CPU speicher
    Alles rund um Windows - 28.10.2007 (0)
  12. svchost.exe und explorer.exe haben hohe cpu auslastung
    Log-Analyse und Auswertung - 19.10.2007 (6)
  13. Fehler: SVCHOST, Explorer.exe, runterfahren geht nicht, programme nicht zu öffnen...
    Log-Analyse und Auswertung - 05.04.2007 (7)
  14. mobsync / explorer / winlogon Systemauslastung
    Plagegeister aller Art und deren Bekämpfung - 05.03.2007 (4)
  15. winlogon.exe und explorer.exe
    Log-Analyse und Auswertung - 29.12.2006 (9)
  16. Svchost.exe fehler / probleme mit dem explorer / hijack logfile auswertung
    Log-Analyse und Auswertung - 25.07.2006 (4)
  17. svchost.exe & explorer.exe = irrsinnige Speicherauslastung
    Plagegeister aller Art und deren Bekämpfung - 03.07.2006 (5)

Zum Thema svchost.exe, explorer.exe und winlogon reg key - Hallo, ich bin neu hier und habe noch nicht so viel Ahnung von Viren etc. Ich habe folgendes Problem. Ich habe ein selbstentpackendes Archiv geöffnet und der Inhalt wurde auch - svchost.exe, explorer.exe und winlogon reg key...
Archiv
Du betrachtest: svchost.exe, explorer.exe und winlogon reg key auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.