Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.03.2009, 18:14   #1
Olli77
 
Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe - Standard

Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe



Hallo,

Bin heute nur zufällig auf dieses Problem gestoßen weil ich mich ein bisschen mit dem Conficker Wurm befasst habe (da ja morgen die Welt untergehen soll ;-) ) und versucht dieses Ding mittels Rootkit Tools zu identifizieren.

Jedoch bin ich erst gar nicht auf all die Antiviren Seiten gekommen und das hat mich stutzig gemacht. Da auch die Updatefunktion von Antivir bis vor einer Woche nicht geklappt hat (habe danach die neue Version installiert) ist das Rätsel jetzt gelöst.

Habe ein HJT Log mittels der hijackthis.exe gemacht da ich nicht auf die webseite komme.

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:53, on 31.03.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINNT\system32\svchost.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\RVS\WCOM\SYSTEM\CCSRV.EXE
C:\WINNT\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Moony\moony.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\notepad.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Moony] "C:\Programme\Moony\moony.exe"
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBB9ED21-A166-480D-A76A-F3511A528456}: NameServer = 192.168.1.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: RVS CommCenter (RvsCC) - Living Byte Software GmbH, München - C:\Programme\RVS\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RVS Installer (RVSINST) - Living Byte Software GmbH, München - C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

--
End of file - 8681 bytes
Ich habe auch GMER bzw. tralala.exe (Gmer.exe wurde wohl blockiert) durchlaufen lassen und der hat auch einen Rootkit gefunden.

Ich hab die Gmer.log hier hochgeladen denn ich werd daraus nicht ganz schlau.
http://www.materialordner.de/jX1UGUC...px9b2KCsV.html

Gmer meldet einen Rootkit in
Service C:\WINNT\system32\svchost.exe (*** hidden *** ) [AUTO] cbhall

Ich hoffe ihr könnt mir helfen denn das beunruhigt mich doch sehr da ich nicht weiss was dieser Rootkit alles anstellen kann.
Das Ding muss ich mir vor ein paar Wochen eingefangen haben.
OS ist Win2000 SP4 mit Patches bis Feb 2009

Vielen Dank!
Olli

Alt 31.03.2009, 18:56   #2
john.doe
 
Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe - Standard

Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe



Nochmal hallo und

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Drivers to delete:
cbhall

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\cbhall
HKLM\SYSTEM\ControlSet002\Services\cbhall

Files to delete:
C:\WINNT\system32\ohctw.dll
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

ciao, andreas
__________________

__________________

Alt 31.03.2009, 19:30   #3
Olli77
 
Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe - Standard

Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe



Hallo Andreas,

danke für die schnelle Antwort.

Bevor ich mittels Avenger etwas lösche sollte ich ein paar Vorkehrungen treffen?
Falls Windows abstürzen sollte o.ä.
Bin gerade dabei meine Eigenen Daten sowie Mails etc. zu sichern.

Du weisst auch nicht zufällig was es mit diesem Rootkit auf sich hat?
Dieses Blocken von Antivirusseiten u.ä. scheint eine besondere Eigenschaft von Rootkits zu sein?

Ich hoffe ja nicht, dass es mich irgendwie ausspioniert hat oder sonstiges Unheilvolles angerichtet hat.
Ist das erste Mal, dass ich so offensichtlich einen Virus o.ä. "bei der Arbeit" gesehen habe und hat mich doch erschreckt.

Werde in kürze ein neues Gmer.log posten

Gruß
Olli
__________________

Alt 31.03.2009, 19:51   #4
john.doe
 
Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe - Standard

Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe



Zitat:
Bevor ich mittels Avenger etwas lösche sollte ich ein paar Vorkehrungen treffen?
Dafür ist es zu spät. Conficker ist schon bei der Arbeit.
Zitat:
Du weisst auch nicht zufällig was es mit diesem Rootkit auf sich hat?
Doch, zufällig schon.
Zitat:
Dieses Blocken von Antivirusseiten u.ä. scheint eine besondere Eigenschaft von Rootkits zu sein?
Das machen mehrere.
Zitat:
Ich hoffe ja nicht, dass es mich irgendwie ausspioniert hat oder sonstiges Unheilvolles angerichtet hat.
Dann lies mal hier: heise online - 31.03.09 - Conficker entmystifiziert
Zitat:
Werde in kürze ein neues Gmer.log posten
Vorher bitte das Avenger-Log.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 31.03.2009, 22:13   #5
Olli77
 
Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe - Standard

Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe



Hallo,

hier das Avenger Log nach der Ausführung des Scripts

Zitat:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows 2000 (build 2195, Service Pack 4)
Tue Mar 31 21:21:09 2009

21:21:04: Warning: Skipping potentially dangerous line:
"HKLM\SYSTEM\CurrentControlSet\Services\cbhall" (Registry key deletion mode)
21:21:09: Error: Execution aborted by user!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows 2000

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "cbhall" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\cbhall" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\cbhall" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\ControlSet002\Services\cbhall" deleted successfully.
File "C:\WINNT\system32\ohctw.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
und hier der Gmer.log nach dem Neustart

http://www.materialordner.de/IF2vr5XwQbJUp3ftMF1gI7okDSBJqWMZ.html

scheint geklappt zu haben mit den Löschen des Rootkits obwohl mir mulmig war beim Starten von Avenger da er mehrmals eine Warning aussprach.
Aber Windows ist zum Glück wieder hochgefahren.
Antiviren Seiten kann ich jetzt auch wieder laden.

Hat es sich dabei wirklich um den Conficker gehandelt?

Sind jetzt noch weitere Aktionen von Nöten?
Danke schon mal im voraus.

Olli


Alt 31.03.2009, 22:34   #6
john.doe
 
Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe - Standard

Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe



Zitat:
Hat es sich dabei wirklich um den Conficker gehandelt?
Ja.
Zitat:
Sind jetzt noch weitere Aktionen von Nöten?
Ja und zwar ein ganzer Haufen. Deine Reaktion ist typisch, ein Symptom ist verschwunden, juhu, ich bin geheilt.

Lade dir Download details: Windows Malicious Software Removal Tool und lasse es laufen.

Anschliessend klickst du auf "Für alle Neuen" in meiner Signatur und arbeitest die Liste unter Punkt 2 ab.

ciao, andreas
__________________
--> Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe

Alt 02.04.2009, 17:40   #7
Olli77
 
Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe - Standard

Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe



Hallo,

hat etwas gedauert aber hab jetzt soweit alle Schritte gemacht unter Punkt 2)

Microsoft Removal Tool hat nach gründlicher Suche nichts gefunden.
Malwarebytes ebenso. Danach CCleaner laufen gelassen und einen HJT Scan gemacht.

Gruß
Olli

Zitat:
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1929
Windows 5.0.2195 Service Pack 4

02.04.2009 12:23:41
mbam-log-2009-04-02 (12-23-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 182426
Laufzeit: 1 hour(s), 14 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
HJT Log
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:17, on 02.04.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\RVS\WCOM\SYSTEM\CCSRV.EXE
C:\WINNT\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Moony\moony.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Moony] "C:\Programme\Moony\moony.exe"
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBB9ED21-A166-480D-A76A-F3511A528456}: NameServer = 192.168.1.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: RVS CommCenter (RvsCC) - Living Byte Software GmbH, München - C:\Programme\RVS\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RVS Installer (RVSINST) - Living Byte Software GmbH, München - C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

--
End of file - 8134 bytes
Uninstall list von HJT
Zitat:
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Auto Gordian Knot 2.55
Avira AntiVir Personal - Free Antivirus
AviSynth 2.5
CCleaner (remove only)
Defraggler (remove only)
DivX Codec
DivX Plus DirectShow Filters
DivX Web Player
Free FLV Converter V 5.4
Free YouTube to Mp3 Converter version 3.1
GUI for dvdauthor 1.07
HijackThis 2.0.2
Hotfix for MDAC 2.80 (KB927779)
ImgBurn
Java(TM) 6 Update 11
Java(TM) 6 Update 7
Kalender-Excel 8.5.1
Malwarebytes' Anti-Malware
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
MOBackup - Datensicherung für Outlook (Testversion)
Mozilla Firefox (3.0.8)
Mozilla Thunderbird (2.0.0.21)
MSN Messenger 7.0
Sicherheitsupdate for DirectX 9 (KB951698)
Sicherheitsupdate für Windows 2000 (KB941569)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Media Player 6.4 (KB954600)
Sicherheitsupdate für Windows Media Player 9 (KB936782)
TeraCopy 1.22
TrueCrypt
Uninstall 1.0.0.1
VC80CRTRedist - 8.0.50727.762
Windows 2000-Hotfix - KB913580
Windows 2000-Hotfix - KB917537
Windows 2000-Hotfix - KB921398
Windows 2000-Hotfix - KB923810
Windows 2000-Hotfix - KB925902
Windows 2000-Hotfix - KB926122
Windows 2000-Hotfix - KB930178
Windows 2000-Hotfix - KB931784
Windows 2000-Hotfix - KB933729
Windows 2000-Hotfix - KB935839
Windows 2000-Hotfix - KB935840
Windows 2000-Hotfix - KB938464
Windows 2000-Hotfix - KB938827
Windows 2000-Hotfix - KB943055
Windows 2000-Hotfix - KB943485
Windows 2000-Hotfix - KB944338
Windows 2000-Hotfix - KB945553
Windows 2000-Hotfix - KB950749
Windows 2000-Hotfix - KB950974
Windows 2000-Hotfix - KB951066
Windows 2000-Hotfix - KB951071
Windows 2000-Hotfix - KB951748
Windows 2000-Hotfix - KB952954
Windows 2000-Hotfix - KB954211
Windows 2000-Hotfix - KB955069
Windows 2000-Hotfix - KB956391
Windows 2000-Hotfix - KB956802
Windows 2000-Hotfix - KB957097
Windows 2000-Hotfix - KB958215
Windows 2000-Hotfix - KB958644
Windows 2000-Hotfix - KB958687
Windows 2000-Hotfix - KB960714
XMedia Recode 2.1.1.1
Xvid 1.1.3 final uninstall
XviD MPEG4 Video Codec (remove only)
ZoneAlarm

Alt 02.04.2009, 18:04   #8
john.doe
 
Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe - Standard

Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe



Gehst du per ISDN ins Internet?

1.) Deinstalliere:
  • Acrobat Reader (veraltet)
  • Java(TM) 6 Update 11 (veraltet)
  • Java(TM) 6 Update 7 (veraltet)
  • Uninstall 1.0.0.1 (unnötig)
  • ZoneAlarm (Schrott)

2.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
         
=> Fix checked

3.) Besuche mit dem MSIE Microsoft Windows Update und führe alle Updates durch.

4.) Installiere (Toolbars immer abwählen, Haken weg):
5.) Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.
  • Kaspersky Online Scanner
    • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
    • Java muss installiert, aktiv und erlaubt sein.
    • Bebilderte Anleitung von sundavis.
    • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
    • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
    • Die Datenschutzerklärung akzeptieren.
    • Programm installieren lassen.
    • Update der Signaturen installieren lassen.
    • Wenn der Status "Complete" ist,
    • Scan-Einstellungen (Settings) Standard lassen
    • Links den Link "My Computer" anklicken.
    • Scan beginnt automatisch.
    • Wenn der Scan fertig ist, auf "View scan report" klicken,
    • "Save report as" und Dateityp auf .txt umstellen,
    • und auf dem Desktop als Kaspersky.txt speichern.
    • Logdatei hier posten.
    • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe
1.exe, adobe, antivir guard, avira, bho, blockiert, browser, desktop, eraser, excel, explorer, firefox, gmer.exe, gmer.log, hijack, internet, internet explorer, jusched.exe, mozilla, neue version, problem, rootkit, rundll, seiten, server, software, svchost.exe, system, usb, windows, wurm



Ähnliche Themen: Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe


  1. Windows 10: Chrome lädt keine Bilder und einige Seiten / Inhalt geblockt?
    Plagegeister aller Art und deren Bekämpfung - 10.09.2015 (7)
  2. google chrome lädt keine seiten
    Plagegeister aller Art und deren Bekämpfung - 05.03.2014 (9)
  3. Chrome|Firefox lädt keine Seiten (websearch.mocaflix.com)
    Log-Analyse und Auswertung - 11.04.2013 (9)
  4. Programme und Spiele crashen direkt nach Start.- Google chrome lädt keine Internet Seiten.
    Alles rund um Windows - 10.03.2013 (0)
  5. Browser lädt (einige) Seiten langsam und unvollständig
    Log-Analyse und Auswertung - 20.01.2013 (32)
  6. Firefox lädt keine Seiten mehr bzw. muss den Prozess mit dem Task-Manager beenden
    Plagegeister aller Art und deren Bekämpfung - 08.01.2012 (9)
  7. Browser (Opera, Firefox) lädt aufgerufene Seiten nicht sofort!
    Alles rund um Windows - 07.12.2010 (17)
  8. Gmer meldet: service C:\WINDOWS\system32\svchost.exe? (*** hidden *** ) WSC <-- ROOTKIT !
    Plagegeister aller Art und deren Bekämpfung - 03.12.2010 (4)
  9. FF & Safari lädt keine AVir Seiten mehr
    Log-Analyse und Auswertung - 31.12.2008 (6)
  10. Google lädt bei Suche andere Seiten-Kann keine Antispy Programme installieren-Virus?
    Log-Analyse und Auswertung - 23.12.2008 (0)
  11. c:\winnt\system32\drivers\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (2)
  12. c:\winnt\system32\drivers\svchost.exe
    Mülltonne - 17.09.2008 (0)
  13. Firefox lädt keine Seiten+google.de googelt nicht mehr
    Mülltonne - 25.08.2008 (0)
  14. Browser lädt die Seiten beim ersten mal nicht
    Antiviren-, Firewall- und andere Schutzprogramme - 08.05.2007 (6)
  15. IE7 lädt keine Seiten mehr
    Log-Analyse und Auswertung - 13.01.2007 (3)
  16. IE lädt keine Seiten
    Plagegeister aller Art und deren Bekämpfung - 15.08.2005 (1)
  17. C:\WINNT\System32\winupd.exe ?
    Plagegeister aller Art und deren Bekämpfung - 27.06.2004 (3)

Zum Thema Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe - Hallo, Bin heute nur zufällig auf dieses Problem gestoßen weil ich mich ein bisschen mit dem Conficker Wurm befasst habe (da ja morgen die Welt untergehen soll ;-) ) und - Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe...
Archiv
Du betrachtest: Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.