Nickles - Das Onlinemagazin zum Mitmachen

svchost.exe & tcpip (Infektion?)

deltazero_de am 31.05.2005, 20:19 / 2 Antworten / Baumansicht

Hallo,

hab da so einen dummen Screensaver installiert, den ich zuvor extra mit zwei Virenscanner durchleuchtet habe und da war dann doch einiges an Aware/Spyware dabei. Jetzt bin ich mir nicht sicher, ob ich alles entfernt habe - will heissen, ich weiss nicht so recht, was ich von den Symptomen meines Rechners halten soll: Spybot, Zonealarm Antivirus und Bitdefender melden alles okay nach Scan.

eScan hat mir bei einem Scan im abgesicherten Modus folgende "Schädlinge" gemeldet:

Mon May 30 02:12:05 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon May 30 02:12:08 2005 => Offending value found in HKLM\\Software\\microsoft\\downloadmanager !!!
Mon May 30 02:12:11 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon May 30 02:12:19 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon May 30 02:12:27 2005 => Entry "HKCR\\CLSID\\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.

Mon May 30 02:12:39 2005 => Entry "HKCR\\CLSID\\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.

Mon May 30 02:12:45 2005 => Entry "HKCR\\CLSID\\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.

Des Weiteren habe ich folgende zwei Zonealarm-Rechte-Anforderungen, wenn ich meinen Rechner starte:

Program Name Generic Host Process for Win32 Services
Filename svchost.exe
Program Version 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Program Size 14336
Program MD5 65a819b121eb6fdab4400ea42bdffe64
Date Modified Aug-04-2004 05:00:00 AM
Connect Type Server
Local Port 135
Remote IP Address 0.0.0.0
Alert Date May-29-2005 05:24:15 PM PDT

Program Name Generic Host Process for Win32 Services
Filename svchost.exe
Program Version 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Program Size 14336
Program MD5 65a819b121eb6fdab4400ea42bdffe64
Date Modified Aug-04-2004 05:00:00 AM
Connect Type Server
Local Port 53
Remote IP Address 192.168.1.1
Alert Date May-29-2005 05:25:01 PM PDT

Hier mein HiJackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 02:38:28, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\csrss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\Ati2evxx.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\Programme\\TuneUp Utilities 2004\\WinStylerThemeSvc.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\WINDOWS\\System32\\SCardSvr.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\Programme\\WIDCOMM\\Bluetooth Software\\bin\\btwdins.exe
C:\\WINDOWS\\system32\\drivers\\CDAC11BA.EXE
C:\\WINDOWS\\system32\\ZoneLabs\\isafe.exe
C:\\Programme\\Cisco Systems\\VPN Client\\cvpnd.exe
C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\VS7DEBUG\\MDM.EXE
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\wdfmgr.exe
C:\\Programme\\HHVcdV7Sys\\VC7SecS.exe
C:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe
C:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Communicator\\xcommsvr.exe
C:\\Programme\\Raxco\\PerfectDisk\\PDSched.exe
C:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Scan Server\\bdss.exe
C:\\WINDOWS\\system32\\Ati2evxx.exe
C:\\WINDOWS\\Explorer.EXE
C:\\WINDOWS\\System32\\alg.exe
C:\\WINDOWS\\AGRSMMSG.exe
C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe
C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe
C:\\WINDOWS\\system32\\rundll32.exe
C:\\Programme\\Java\\jre1.5.0_02\\bin\\jusched.exe
C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe
C:\\Programme\\HHVcdV7Sys\\VC7Play.exe
C:\\Programme\\FreePDF_XP\\fpassist.exe
C:\\Programme\\Centrino HC\\Centrino_HC.exe
C:\\Programme\\Logitech\\MouseWare\\system\\em_exec.exe
C:\\Programme\\Launch Manager\\QtZgAcer.EXE
C:\\Programme\\Microsoft AntiSpyware\\gcasServ.exe
C:\\Programme\\MultiRes\\MultiRes.exe
C:\\WINDOWS\\SYSTEM32\\ATIPTAXX.EXE
C:\\Programme\\Express ClickYes\\ClickYes.exe
C:\\Programme\\On Hand\\OnHand.exe
C:\\Programme\\CronoSoft\\Quick Hide Windows\\qhw.exe
C:\\Programme\\WIDCOMM\\Bluetooth Software\\BTTray.exe
C:\\Programme\\Microsoft AntiSpyware\\gcasDtServ.exe
C:\\PROGRA~1\\WIDCOMM\\BLUETO~1\\BTSTAC~1.EXE
C:\\Programme\\palmOne\\HOTSYNC.EXE
C:\\WINDOWS\\system32\\wbem\\wmiapsrv.exe
C:\\Programme\\Opera\\Opera.exe
C:\\Programme\\Internet Explorer\\IEXPLORE.EXE
C:\\WINDOWS\\system32\\ntvdm.exe
C:\\PROGRA~1\\MWAV\\MWAVSCAN.COM
C:\\PROGRA~1\\MWAV\\kavss.exe
C:\\Programme\\totalcmd\\TOTALCMD.EXE
C:\\Programme\\HijackThis\\HijackThis.exe

R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = h**p://www.google.de/
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = h**p://global.acer.com
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\\Programme\\TEXTware\\QUICKfind\\PlugIns\\IEHelp.dll
O4 - HKLM\\..\\Run: [LaunchApp] Alaunch
O4 - HKLM\\..\\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\\..\\Run: [SynTPLpr] C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe
O4 - HKLM\\..\\Run: [SynTPEnh] C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe
O4 - HKLM\\..\\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\\..\\Run: [MSPY2002] C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC
O4 - HKLM\\..\\Run: [SunJavaUpdateSched] C:\\Programme\\Java\\jre1.5.0_02\\bin\\jusched.exe
O4 - HKLM\\..\\Run: [Zone Labs Client] C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe
O4 - HKLM\\..\\Run: [VC7Player] C:\\Programme\\HHVcdV7Sys\\VC7Play.exe
O4 - HKLM\\..\\Run: [FreePDF Assistant] C:\\Programme\\FreePDF_XP\\fpassist.exe
O4 - HKLM\\..\\Run: [NeroFilterCheck] C:\\WINDOWS\\system32\\NeroCheck.exe
O4 - HKLM\\..\\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\\..\\Run: [CentrinoHardwareControl] "C:\\Programme\\Centrino HC\\Centrino_HC.exe"
O4 - HKLM\\..\\Run: [KernelFaultCheck] %systemroot%\\system32\\dumprep 0 -k
O4 - HKLM\\..\\Run: [LManager] C:\\Programme\\Launch Manager\\QtZgAcer.EXE
O4 - HKLM\\..\\Run: [gcasServ] "C:\\Programme\\Microsoft AntiSpyware\\gcasServ.exe"
O4 - HKLM\\..\\Run: [MultiRes] C:\\Programme\\MultiRes\\MultiRes.exe
O4 - HKLM\\..\\Run: [AtiPTA] C:\\WINDOWS\\SYSTEM32\\ATIPTAXX.EXE
O4 - HKCU\\..\\Run: [Express ClickYes] C:\\Programme\\Express ClickYes\\ClickYes.exe
O4 - HKCU\\..\\Run: [On Hand] "C:\\Programme\\On Hand\\OnHand.exe"
O4 - HKCU\\..\\Run: [Quick Hide Windows] C:\\Programme\\CronoSoft\\Quick Hide Windows\\qhw.exe -s
O4 - Startup: HotSync Manager.lnk = C:\\Programme\\palmOne\\HOTSYNC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O6 - HKCU\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\\PROGRA~1\\MICROS~2\\OFFICE11\\EXCEL.EXE/3000
O8 - Extra context menu item: Save with Download Manager... - file://C:\\Programme\\J River\\Media Center 11\\DMDownload.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\\Programme\\WIDCOMM\\Bluetooth Software\\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Programme\\Java\\jre1.5.0_02\\bin\\npjpi150_02.dll
O9 - Extra \'Tools\' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Programme\\Java\\jre1.5.0_02\\bin\\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\\PROGRA~1\\MICROS~2\\OFFICE11\\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\\Programme\\WIDCOMM\\Bluetooth Software\\btsendto_ie.htm
O9 - Extra \'Tools\' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\\Programme\\WIDCOMM\\Bluetooth Software\\btsendto_ie.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - h**p://download.zonelabs.com/bin/free/cm/ICSCM.cab[/url]
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - h**p://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O17 - HKLM\\System\\CCS\\Services\\Tcpip\\..\\{D67E0A25-45B3-456F-8F84-43E3C6796A9F}: NameServer = 192.168.121.252,192.168.121.253
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\\WINDOWS\\system32\\btxppanel.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\\WINDOWS\\system32\\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\\WINDOWS\\system32\\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Scan Server\\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\\Programme\\WIDCOMM\\Bluetooth Software\\bin\\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\\WINDOWS\\system32\\drivers\\CDAC11BA.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\\WINDOWS\\system32\\ZoneLabs\\isafe.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\\Programme\\Cisco Systems\\VPN Client\\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\\Programme\\Gemeinsame Dateien\\AVM\\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\\Programme\\iPod\\bin\\iPodService.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\\Programme\\Raxco\\PerfectDisk\\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\\Programme\\Raxco\\PerfectDisk\\PDSched.exe
O23 - Service: RadClock - Unknown owner - C:\\WINDOWS\\system32\\RadClock.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\\Programme\\TuneUp Utilities 2004\\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\\Programme\\HHVcdV7Sys\\VC7SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Communicator\\xcommsvr.exe" /service (file missing)

Sorgen machen mir vor allem die beiden ZoneAlarm-Rechte-Anforderungen (die ich stets abgelehnt habe, wie auch alle Rechteanforderungen der Spyware die ich mit dem Screensaver installiert hatte) und der Eintrag O17 - HKLM\\System\\CCS\\Services\\Tcpip\\..\\{D67E0A25-45B3-456F-8F84-43E3C6796A9F}: NameServer = 192.168.121.252,192.168.121.253

Würd mich sehr freuen, wenn mal jemand drüber schauen kann, der sich auskennt - bin mit meinen Kenntnisses leider an Ende.

Danke & viele Grüße,

deltazero

PS: Den Eintrag O17 hab ich inzwischen mit HiJackThis gelöscht (mit Backup) und das System funktioniert trotzdem wunderbar!

PPS: Schrägstriche scheinen bei nickles verloren zu gehen....

Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge