Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   svchost.exe & tcpip (Infektion?) (https://www.trojaner-board.de/18438-svchost-exe-tcpip-infektion.html)

deltazero 31.05.2005 11:32
svchost.exe & tcpip (Infektion?)
 
Hallo,

hab da so einen dummen Screensaver installiert, den ich zuvor extra mit zwei Virenscanner durchleuchtet habe und da war dann doch einiges an Aware/Spyware dabei. Jetzt bin ich mir nicht sicher, ob ich alles entfernt habe - will heissen, ich weiss nicht so recht, was ich von den Symptomen meines Rechners halten soll: Spybot, Zonealarm Antivirus und Bitdefender melden alles okay nach Scan.

eScan hat mir bei einem Scan im abgesicherten Modus folgende "Schädlinge" gemeldet:

Mon May 30 02:12:05 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon May 30 02:12:08 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Mon May 30 02:12:11 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon May 30 02:12:19 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon May 30 02:12:27 2005 => Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.

Mon May 30 02:12:39 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.

Mon May 30 02:12:45 2005 => Entry "HKCR\CLSID\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.

Des Weiteren habe ich folgende zwei Zonealarm-Rechte-Anforderungen, wenn ich meinen Rechner starte:

Program Name Generic Host Process for Win32 Services
Filename svchost.exe
Program Version 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Program Size 14336
Program MD5 65a819b121eb6fdab4400ea42bdffe64
Date Modified Aug-04-2004 05:00:00 AM
Connect Type Server
Local Port 135
Remote IP Address 0.0.0.0
Alert Date May-29-2005 05:24:15 PM PDT

Program Name Generic Host Process for Win32 Services
Filename svchost.exe
Program Version 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Program Size 14336
Program MD5 65a819b121eb6fdab4400ea42bdffe64
Date Modified Aug-04-2004 05:00:00 AM
Connect Type Server
Local Port 53
Remote IP Address 192.168.1.1
Alert Date May-29-2005 05:25:01 PM PDT

Hier mein HiJackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 02:38:28, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\HHVcdV7Sys\VC7Play.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Centrino HC\Centrino_HC.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\MultiRes\MultiRes.exe
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\Programme\Express ClickYes\ClickYes.exe
C:\Programme\On Hand\OnHand.exe
C:\Programme\CronoSoft\Quick Hide Windows\qhw.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\palmOne\HOTSYNC.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\MWAV\MWAVSCAN.COM
C:\PROGRA~1\MWAV\kavss.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [VC7Player] C:\Programme\HHVcdV7Sys\VC7Play.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CentrinoHardwareControl] "C:\Programme\Centrino HC\Centrino_HC.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MultiRes] C:\Programme\MultiRes\MultiRes.exe
O4 - HKLM\..\Run: [AtiPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKCU\..\Run: [Express ClickYes] C:\Programme\Express ClickYes\ClickYes.exe
O4 - HKCU\..\Run: [On Hand] "C:\Programme\On Hand\OnHand.exe"
O4 - HKCU\..\Run: [Quick Hide Windows] C:\Programme\CronoSoft\Quick Hide Windows\qhw.exe -s
O4 - Startup: HotSync Manager.lnk = C:\Programme\palmOne\HOTSYNC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save with Download Manager... - file://C:\Programme\J River\Media Center 11\DMDownload.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - h**p://download.zonelabs.com/bin/free/cm/ICSCM.cab[/url]
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - h**p://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D67E0A25-45B3-456F-8F84-43E3C6796A9F}: NameServer = 192.168.121.252,192.168.121.253
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Sorgen machen mir vor allem die beiden ZoneAlarm-Rechte-Anforderungen (die ich stets abgelehnt habe, wie auch alle Rechteanforderungen der Spyware die ich mit dem Screensaver installiert hatte) und der Eintrag O17 - HKLM\System\CCS\Services\Tcpip\..\{D67E0A25-45B3-456F-8F84-43E3C6796A9F}: NameServer = 192.168.121.252,192.168.121.253

Würd mich sehr freuen, wenn mal jemand drüber schauen kann, der sich auskennt - bin mit meinen Kenntnisses leider an Ende.

Danke & viele Grüße,

deltazero

PS: Den Eintrag O17 hab ich inzwischen mit HiJackThis gelöscht (mit Backup) und das System funktioniert trotzdem wunderbar.......


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:22 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54