Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Syswiederherstellung deaktivert, versucht sich ins Inet zu verbinden, PC überlastet (https://www.trojaner-board.de/84374-syswiederherstellung-deaktivert-versucht-ins-inet-verbinden-pc-ueberlastet.html)

Abralas 31.03.2010 20:48
Syswiederherstellung deaktivert, versucht sich ins Inet zu verbinden, PC überlastet
 
Hallo,

ich brauche dringend eure Hilfe.
Gestern hat sich mein Erstrechner (WIN XP Pro SP3) mit einem oder mehreren sehr bösartigen Trojaner infiziert, als ich mit Firefox surfte. Eine Vermutung zur Seite, bei der das passierte, habe ich auch, aber diese ist eher FSK18 und daher poste ich die hier erstmal nicht.

Jedenfalls sah ich irgendwie plötzlich wie sich Java Runtime 2x öffnete, dann wurde die Firewall deaktiviert und es wurden anscheinend mehrere Kommandozeilen abgespielt. Danach wurden immer wieder mehrere Instanzen vom Internet Explorer bzw. iexplore.exe geöffnet. "Der Virus" versuchte sich immer wieder ins Internet zu verbinden bzw. es wurden Verbindungen über alle Ports systematisch durchgegangen wie ich über tcpview sehen konnte.

Ich habe dann erstmal die Verbindung zum Internet beendet und alle merkwürdigen Prozesse versucht zu stoppen. Solche wie krwwe2343.exe oder zzfffd12.exe (Ich weiß es nicht genau wie diese hießen - es sind nur Beispiele mit ähnlichen, sinnlosen Namen) oder auch qt???.exe (? stehen für Buchstaben, die ich nicht mehr erinnern kann) waren im Taskmanager zu sehen.

Außerdem funktionierten AntivirenProgramme wie AntiVir Personal oder Stinger nicht mehr. Sowas habe ich echt noch nie erlebt. Da die Systemwiederherstellung auch deaktiviert wurde und ich keinen Zugriff mehr auf diese hatte ("Die Systemwiederherstellung wurde aufgrund einer Gruppenrichtlinie deaktiviert, wenden Sie sich an einen Domainadministrator um die Systemwiederherstellung zu aktivieren") habe ich versucht den PC im abgesichterten Modus neuzustarten.

Ich konnte dann auch sehen, dass sich im Autostart Anwendungen wie die oben genannten "sinnlosen" .exe-Dateien (2 Stück) eingenistet hatten. Die waren auch im Temp Ordner vom Firefox zu finden und so konnte ich diese löschen, ebenso wie z.B. eine verdächtige Datei wie taskmgr.exe, welche im selben Verzeichnis war.

Als ich dann den PC wieder normal (offline) startete, lief alles ganz in Ordnung, aber schnell waren wieder verdächtige Prozesse (wieder irgendwas mit Q....exe und die sinnlosen Prozessnamen) am laufen. Diese habe ich dann erstmal gekillt. Dann war erstmal Ruhe.
Als ich dann jedoch mich ins Internet verbunden hatte, starteten plötzlich wieder mehrere Prozesse (quasi dasselbe Verhalten wie vorher). Cmd.exe wurde ständig geöffnet, genauso wie z.B. iexplore.exe. So ging ich wieder offline und versuchte nach einem Neustart wieder alles zu löschen ohne Erfolg, denn sobald ich online ging starteten immer mehr Prozesse (meistens iexplore.exe).

Es hat sich sehr verschlimmert, denn als ich mit HijackThis.exe ein Log erstellte und das hier (mit nem langen Text) posten wollte, konnte ich es nicht mal abschicken. Die Leitung wurde anscheinend blockiert. Deshalb schrieb ich das alles in eine Textdatei rein und wollte vorhin per USB-Stick vom infizierten PC diese Datei schnell ziehen (natürlich offline). Das geht aber leider grad nicht, weil irgendwie kein Modi nicht richtig startet. Beim Booten drücke ich immer F8 und wähle die verschiedenen Startoptionen von WIN XP Pro, aber es hängt und dauert bzw. bleibt schwarz oder im abgesichterten Modus werden die Treiber geladen, aber es passiert dann nichts mehr. Ohne diesen sehr gesicherten Zweitrechner, welchen ich grad nutze, könnte ich nicht einmal diese Nachricht schreiben.

HILFE, ich weiß grad nicht, was ich machen soll. Bitte helft mir!

cyb 31.03.2010 21:42
Spiele dein vorher gemachtes Backup ein.

Wenn das wider Erwarten nicht vorhanden sein sollte ist die einzige saubere Möglichkeit das System neu aufzusetzen.
Die Daten kannst Du beispielsweise mit einer Ubuntu-LiveCD sichern.

Deine System wurde eventuell durch eine Sicherheitslücke in der Java-Runtime kompromittiert. Siehe dazu: hxxp://www.heise.de/security/meldung/Java-6-Update-19-schliesst-26-Sicherheitsluecken-967842.html

Abralas 01.04.2010 04:25
So ich habe das HijackThis.log nun doch herbeischaffen können. Ubuntu sei Dank, denn Win XP kriege ich nicht mehr gestartet wie ich schon oben beschrieben hatte beim Booten.

Hier ist das HijackThis.log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:34:50, on 30.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon\winlogo.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\System32\reader_s.exe
C:\Dokumente und Einstellungen\***\reader_s.exe
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\zipdkg32.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\creative\shared files\module loader\dllml .exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
c:\windows\system32\ctxfihlp .exe
c:\programme\creative\sound blaster x-fi\volume panel\volpanlu .exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\FRITZ!Fernzugang\nwtsrv.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
G:\Tunngle\TnglCtrl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
H:\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\msskyv32.exe,
O2 - BHO: C:\WINDOWS\system32\fsb8n.dll - {A9BA40A1-74F1-52BD-F434-00B15A2C8953} - C:\WINDOWS\system32\fsb8n.dll
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [Adobe_Reader] c:\programme\internet explorer\wmpscfgs.exe
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\***\reader_s.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ihaupd32.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: zipdkg32.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: ihaupd32.exe (User 'Default user')
O4 - .DEFAULT Startup: zipdkg32.exe (User 'Default user')
O4 - Startup: ihaupd32.exe
O4 - Startup: zipdkg32.exe
O8 - Extra context menu item: Download with GetRight - G:\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with GetRight Pro - G:\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://G:\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - G:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Open with GetRight Pro Browser - G:\GetRight\GRbrowse.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - G:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - G:\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - G:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - G:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O15 - Trusted Zone: h**p://w*w.youtube.com
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - h**p://w*w.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194482887875
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h**p://w*w.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1194570393703
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://w*w.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - h**p://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - h**p://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control Class) - h**p://w*w.vexcast.com/download/vexcast.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - h**p://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://w*w.creative.com/su2/CTL_V02002/ocx/15031/CTPID.cab
O18 - Protocol: bw+0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - G:\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: offline-8876480 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O20 - AppInit_DLLs: TeknoGods.dll
O21 - SSODL: GootkitSSO - {ACE7F8A5-7FFE-4C53-AA4F-A38A9BB728A0} - C:\WINDOWS\System32\msxsltsso.dll
O22 - SharedTaskScheduler: jsg9dgjisdogje94guiofjgd - {A9BA40A1-74F1-52BD-F434-00B15A2C8953} - C:\WINDOWS\system32\fsb8n.dll
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe
O23 - Service: AppMgmt - Unknown owner - H:\Temp\Temp\VRT34.tmp
O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: avmike - Unknown owner - H:\Temp\Temp\VRT24.tmp (file missing)
O23 - Service: BITS - Unknown owner - H:\Temp\Temp\VRT24.tmp (file missing)
O23 - Service: Browser - Unknown owner - H:\Temp\Temp\VRT38.tmp (file missing)
O23 - Service: certsrv - Unknown owner - C:\Programme\FRITZ!Fernzugang\certsrv.exe (file missing)
O23 - Service: CGVPNCliSrvc - Unknown owner - G:\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe
O23 - Service: clr_optimization_v2.0.50727_32 - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - G:\nHancer\nHancerService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: AVM FRITZ!Fernzugang Client (nwtsrv) - AVM Berlin - C:\Programme\FRITZ!Fernzugang\nwtsrv.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TunngleService - Tunngle.net GmbH - G:\Tunngle\TnglCtrl.exe

--
End of file - 21332 bytes

Abralas 01.04.2010 17:17
Hat keiner eine Ahnung, was für ein Virus das sein könnte?

Sion 03.04.2010 12:52
Da nichts mehr geht, erstell eine Dr.Web LiveCD, boote von der CD (Default Start) und scanne alle Laufwerke. Versuhe dann Windows normal zu starten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131