Trojaner-Board - Bitte um Hijack-Log-Auswertung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um Hijack-Log-Auswertung (https://www.trojaner-board.de/12211-bitte-um-hijack-log-auswertung.html)

Bitte um Hijack-Log-Auswertung

Hi Leute,

ich bin neu hier, ein wenig aufgeregt und habe mich auch gleich bei meiner Anmeldung bei meinem Benutzernamen verschrieben :schmoll: :kloppen:. Wie Ihr Euch sicher denken könnte habe ich ein Problem mit Trojanern und ich werde es einfach nicht los.

AntiVir meldet mir in letzter Zeit oft folgendes:

Zum einen:

15.01.2005,18:13:26 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC!
C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\C5M7G1Y3\D[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
15.01.2005,18:13:42 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC!
C:\WINDOWS\D.EXE
[INFO] Die Datei wurde gelöscht!

und zum anderen:

15.01.2005,18:13:28 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Inapsol.1!
C:\DOKUME~1\BESITZER\LOKALE~1\TEMP\TMP47.TMP
[INFO] Die Datei wurde gelöscht!

Ich habe natürlich schon mit diversen Tools mein Glück versucht (CW-Shredder, Spybot S&D, Ad-Aware), aber leider ohne Erfolg (letzteres der Beispiel hängt sich sogar auf *grml*).

Hier also meine HijackThis-Log von eben, vielleicht kann mir ja jemand weiterhelfen. Ich würdemich sehr freuen. Vielen Dank im voraus.

Logfile of HijackThis v1.99.0
Scan saved at 18:42:56, on 15.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\WINDOWS\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\netdc.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [AS00_Netgear] C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: winupdate21492521[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hi, Dein System ist nicht upgedated, das ist ein Fehler.
Du hast mehrere gravierende Probleme; das schwerwiegenste ist gootseidank relativ neu und kann somit noch beseitigt werden:
Du hast das hier und das drauf, desweiteren andere Malware.
Erstens: clearprog 1.4.1 final runterladen, starten, alle Häkchen bei Windows und IE machen und auch löschen clicken, wenn fertig, auf beenden (Damit sind Deine temp- und temporary internet Files weg).
Zweitens:
eScan runterladen und gemäß Anleitung installieren (Wichtig: in einen von dir neu erstellten Ordner C:\bases)
Drittens:
Mit HJT folgendes im abgesicherten Modus bei deaktivierter Systemwiederherstellung fixen:
C:\WINDOWS\svchost.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\netdc.exe
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

DAnn folgende Dateien manuell löschen:
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\netdc.exe

Viertens:
eScan immer noch im abgesicherten Modus starten (mwavscan), (dauert ca. 1 Stunde).
Dann neu booten. Systemwiederherstellung wieder aktivieren. Das Ergebnis von Escan (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.) und ein neues Logfile reinposten.
Bis später.
cacatoa

Danke für die Antwort,

ich hatte gestern leider keine Zeit mehr die operativen Eingriffe vorzunehmen. Jetzt habe ich allerdings alles so gemacht, wie du es beschrieben hast.

MWAV-Log (infected files)

Sun Jan 16 15:25:16 2005 => File C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken.
--> Datein manuell gelöscht

Sun Jan 16 15:27:15 2005 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\tmp2.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
--> Datei manuell gelöscht

Sun Jan 16 15:37:39 2005 => File C:\WINDOWS\LastGood\webhdll.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
--> belassen

Sun Jan 16 15:37:49 2005 => File C:\WINDOWS\LastGood\whInstaller.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
--> belassen

Sun Jan 16 15:39:15 2005 => File C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken.
--> Datei manuell gelöscht

Sun Jan 16 15:39:49 2005 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp2.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
--> Datei manuell gelöscht

Sun Jan 16 15:51:31 2005 => File C:\Programme\FlashGet\BACKUP\cd_install277.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
--> belassen

Sun Jan 16 15:52:16 2005 => File C:\Programme\whInstall\WhAgent.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
--> belassen

Sun Jan 16 15:52:16 2005 => File C:\Programme\whInstall\whInstaller.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
--> belassen

Sun Jan 16 15:52:16 2005 => File C:\Programme\whInstall\WhSurvey.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
--> belassen

Sun Jan 16 15:52:16 2005 => File C:\Programme\whInstall\Webhdll.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
--> belassen

Sun Jan 16 15:52:16 2005 => File C:\Programme\whInstall\whiehlpr.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
--> belassen

Sun Jan 16 15:53:01 2005 => File C:\program files\webHancer\Programs\whiehlpr.dll_tobedeleted_tobedeleted_tobedeleted_tobedeleted_tobedeleted_tobedeleted_tobedeleted_tobedeleted_tobedeleted_tobe deleted_tobedeleted_tobedeleted_tobedeleted_tobedeleted_tobedeleted_tobedeleted_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
--> belassen

Sun Jan 16 16:38:26 2005 => File E:\Downloads\Programme\fgf150.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
--> belassen

Sun Jan 16 16:57:11 2005 => Total Files Scanned: 63228
Sun Jan 16 16:57:11 2005 => Total Virus(es) Found: 37
Sun Jan 16 16:57:11 2005 => Total Disinfected Files: 0

Ich wuste nicht so recht, was ich mit der Spyware WebHancer und dem anderen "Not-A-Virus"-Dingern machen sollte. Ich wollte jedenfalls nichts "fragwürdiges" einfach so löschen ohne vorher mal gefragt zu haben, ob das richtig ist....

neue HijackThis-Log:

ogfile of HijackThis v1.99.0
Scan saved at 17:35:02, on 16.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\winupdate21492521[1].exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\tmp2.tmp
C:\WINDOWS\svchost.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [AS00_Netgear] C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: winupdate21492521[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Problem:
Beim Boot nach dem "operativen Eingriff" schlug mein Antivir gleich wieder Alarm mit folgenden Meldungen:

16.01.2005,17:32:32 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC!
C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\W0VASGW4\D[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
16.01.2005,17:32:54 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC!
C:\WINDOWS\D.EXE
[INFO] Die Datei wurde gelöscht!
16.01.2005,17:32:30 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Inapsol.1!
C:\DOKUME~1\BESITZER\LOKALE~1\TEMP\TMP3.TMP
[INFO] Die Datei wurde gelöscht!

Viele Grüße mit der Bitte um weitere Hilfe.

Soulguy2k

Hi,
erstens: hast du clearprog nicht benutzt?
zweitens: Lade dir AdAware Se runter, update es und lass es laufen.
Drittens: lade Dir Spybot S&D 1.3 runter, update und lasse es laufen.
Berichte über das Ergebnis und poste ein neues Logfile.
cacatoa

Hi,

doch klar habe ich das Clearprog benutzt. Allerdings nicht nochmal, nach dem Restart, sondern nur bevor ich in den Abgesichertenmodus gegangen bin, wie du es beschrieben hattest.

Mit Ad-Aware habe ich so meine Probleme. Das Programm findet zwar immer diverse "critical objects", bleibt aber im letzten Scan-Abschnitt und "performing conditional scans... (busy)" immer hängen. Ich habe letzte Woche mehrere Stunden gewartet, bin zwischendurch ins Kino gegangen und als ich wieder kam, war er damit immer noch nicht fertig. Das kann doch nicht normal sein, oder?

NAja, wie auch immer. Ich lasse das Programm jetzt schon wieder seit ner halben Stunde laufen und gute 20 Minuten davon befindet es sich in dem oben beschrieben Zustand. Was soll ich jetzt machen?

Hi, kann sein, daß der Daowload gestört war. Deshalb Adaware nochmal installieren.
Clearprog nach jedem I-Net-Besuch nutzen!
Wenn du AdAware noch mal probiert hast und auch Spybot, melde dich wieder.
cacatoa

Hi nochmal,

ich habe Ad-Aware jetzt abgebrochen und die bis dahin gefundenen Probleme manuell beseitigt. Danach habe ich Ad-Aware mit Smart-Scan nochmal durchlaufen lassen und die zwei noch dagewesenen Probleme ebenfalls bereinigt.

Spybot S&D habe ich ebenfalls durchlaufen lassen und die gefundenen Probleme behoben.

Danach habe ich nochmal ClearProg benutzt und dann nochmal HiJackThis....

hier die HijackThis-Log:

Logfile of HijackThis v1.99.0
Scan saved at 19:26:07, on 16.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [AS00_Netgear] C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: winupdate21492521[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Wie schauts jetzt aus? Dummerweise ist da immer noch dieser Eintrag:

C:\WINDOWS\svchost.exe

Das Scheiss-Ding treibt sich immer wieder im Speicher herum und ist auch immer wieder im Windows-Verzeichnis drin *grml*.

Hallo, nachdem eScan dort nichts gefunden hat, schauen wir nochmal woanders.
Lasse die DAtei C:\WINDOWS\svchost.exe
bei Jotti mal online scannen.
DAs zehnzeilige Ergebnis wird sicher interessant.
cacatoa

Edit: Es handelt sich vemutlich um diesen Wurm, der die Tür für einen Backdoor-Troj öffnet.

Hier das Ergebnis von Jotti:

Service load: 0% 100%

File: svchost.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir Heuristic/Trojan.Downloader (probable variant) (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Trojan.Downloader.Small.ACD (0.34 seconds taken)
ClamAV No viruses found (0.38 seconds taken)
Dr.Web Trojan.DownLoader.1251 (0.52 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.acd (0.63 seconds taken)
mks_vir Trojan.Downloader (0.20 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.41 seconds taken)

Hi, hatte Schlimmeres befürchtet.

Folgende mit HJT im abgesicherten Modus bei deaktivierter Systemwiederherstellung fixen:
C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - Startup: winupdate21492521[1].exe

Dann die Datei:
C:\WINDOWS\svchost.ex
manuell löschen.
Dann neu booten, Systemwiederherstellung aktivieren.
Dann neues Logfile posten.
cacatoa

Edit:
Und natürlich System updaten!!

So hier die Log:

Logfile of HijackThis v1.99.0
Scan saved at 20:15:27, on 16.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\winupdate21492521[1].exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\tmp2.tmp
C:\WINDOWS\svchost.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [AS00_Netgear] C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: winupdate21492521[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Leider sind die beiden Einträge, die ich im Abgesicherten-Modus entfernt hatte schon wieder da. Die Trojaner-Warnungen von Anti-Vir kamen auch sofort beim System-Start wieder.

Ich update jetzt erstmal mein Windows und bin kurz außerhaus. Schau später nochmal ins Forum. Bis dann, oder morgen und schon mal vielen Dank.

Viele Grüße
Felix

Du hast vermutlich vergessen, die Systemwiederherstellung auszuschalten.
cacatoa

Ich hatte sie ausgeschaltet.

Nochmal probieren, nicht vergessen, die Datei zu löschen.
Öffne vorher nochmal den taskmanager und beende den Prozess.
cacatoa

Hi,

hat sich leider nix geändert. Der ominöse Prozess c:\windows\svchost.exe läßt sich nicht unterkriegen und ist bei jedem Neustart wieder am Start. Im Abgesicherten-Modus konnte ich leider nicht genau feststellen, ob der Prozeß im Hintegrund läuft. Es liefen zwei svchost.exe Dateien, ich wuste aber nicht, ob es Probleme gibt, wenn ich die falsche beendet. Die Prozesse im A.-M. sind leider nicht mit "Besitzer" oder "System" gekenntzeichnet.

winupdate21492521[1].exe läßt sich garnicht entfernen. Wenn ich den Prozeß mit HiJackThis lösche, ist er sofort beim nächsten Scan, noch vor dem Neustart wieder gelistet.

Mein Windows ist geupdatet.

Logfile of HijackThis v1.99.0
Scan saved at 22:17:42, on 16.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\winupdate21492521[1].exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\tmp3.tmp
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [AS00_Netgear] C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: winupdate21492521[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105903166218
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe