hijack this logfile

6Antworten
  1. #1
    Avatar von
    Themen Starter

    Standard hijack this logfile

    Könnte mir mal bitte einer sagen ob da alles richtig ist !
    Das AntiVir meldet bei jedem start das die datei system32\WINKEY.DLL enthält Signatur BDS/Prorat19.l.3. Nichts hilft bei jedem Start das gleiche.
    Beim Runterfahren reagiert dann die services.exe nicht mehr muss sofort beenden drücken und sehr lange warten bis er runterfährt!

    Logfile of HijackThis v1.99.1
    Scan saved at 15:09:10, on 28.03.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    d:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\services.exe
    C:\WINDOWS\services.exe
    C:\WINDOWS\services.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\HiJack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:\Programme\FlashFXP\IEFlash.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
    O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
    O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://v5.windowsupdate.microsoft.com/v ... 6770728078
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
    O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
    Zitieren Zitieren
  2. #2
    Avatar von computerdirk
    computerdirk ist offline
    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Goslar
    Beiträge
    12.171

    Standard

    Hallöchen,

    also unbedingt folgenden Eintrag fixen:

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe - Böse
    Danach den Rechner im abgesicherten Modus starten und diese .exe Datei löschen. Dann gleich dort auch Antivir durchlaufen lassen...

    Auch die Datenträgerbereinigung durchführen, damit die Temporären Dateien gelöscht werden...

    Vorher aber die Systemwiederherstellung unbedingt deaktivieren...
    Zitieren Zitieren
  3. #3
    Avatar von
    Themen Starter

    Standard

    Hallo danke erst mal für die hilfe.
    1. hab im abgesicherten modus gestartet.
    2. systemwiederherstellung deaktiviert.
    habe aber die datei fservice.exe nicht gefunden. habe auch nach der datei suchen lassen im ordner system32. was soll ich unter dem begriff "fixen" verstehen, da ich direkt mit punkt 1. begonnen habe.
    nochmals danke für die schnelle antwort. hoffe weiterhin auf deine hilfe.
    mfg

    hier die logfiles von hijack und adaware

    Logfile of HijackThis v1.99.1
    Scan saved at 00:08:42, on 31.03.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    d:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\services.exe
    C:\WINDOWS\services.exe
    C:\WINDOWS\services.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\HiJack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:\Programme\FlashFXP\IEFlash.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
    O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
    O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://v5.windowsupdate.microsoft.com/v ... 6770728078
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
    O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

    ------------------------------------------------------------------------------------

    Ad-Aware SE Build 1.05
    Protokolldatei erstellt amonnerstag, 31. März 2005 00:27:10
    Created with Ad-Aware SE Personal, free for private use.
    Verwendete Definitionsdatei:SE1R33 16.03.2005
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»»» »

    Während des Scannings identifizierte Referenzen:
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»
    MRU List(TAC-Index:0):32 Referenzen insgesamt
    Windows(TAC-Index:3):1 Referenzen insgesamt
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»

    Ad-Aware SE Settings
    ===========================
    Festlegen : Nach unbedeutenden Risikoeinträgen suchen
    Festlegen : Sicherer Modus (stets Bestätigung abfragen)
    Festlegen : Aktive Prozesse scannen
    Festlegen : Registrierung scannen
    Festlegen : Registrierung gründlich scannen
    Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen
    Festlegen : In Archiven scannen
    Festlegen : Hosts-Datei scannen

    Extended Ad-Aware SE Settings
    ===========================
    Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf.
    Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen
    Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen
    Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf.
    Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen
    Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen
    Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren
    Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren
    Festlegen : Referenz-Zusammenfassung protokollieren
    Festlegen : Details zu alternativen Datenströmen protokollieren
    Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen


    31.03.2005 00:27:10 - Scanning wurde gestartet. (Intelligenter Modus)

    Liste der laufenden Prozesse
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»

    #:1 [smss.exe]
    FilePath : \SystemRoot\System32\
    ProcessID : 460
    ThreadCreationTime : 30.03.2005 22:04:20
    BasePriority : Normal


    #:2 [csrss.exe]
    FilePath : \??\C:\WINDOWS\system32\
    ProcessID : 516
    ThreadCreationTime : 30.03.2005 22:04:21
    BasePriority : Normal


    #:3 [winlogon.exe]
    FilePath : \??\C:\WINDOWS\system32\
    ProcessID : 540
    ThreadCreationTime : 30.03.2005 22:04:22
    BasePriority : High


    #:4 [services.exe]
    FilePath : C:\WINDOWS\system32\
    ProcessID : 584
    ThreadCreationTime : 30.03.2005 22:04:22
    BasePriority : Normal
    FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215
    ProductVersion : 5.1.2600.2180
    ProductName : Betriebssystem Microsoft® Windows®
    CompanyName : Microsoft Corporation
    FileDescription : Anwendung für Dienste und Controller
    InternalName : services.exe
    LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
    OriginalFilename : services.exe

    #:5 [lsass.exe]
    FilePath : C:\WINDOWS\system32\
    ProcessID : 596
    ThreadCreationTime : 30.03.2005 22:04:22
    BasePriority : Normal
    FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215
    ProductVersion : 5.1.2600.2180
    ProductName : Microsoft® Windows® Operating System
    CompanyName : Microsoft Corporation
    FileDescription : LSA Shell (Export Version)
    InternalName : lsass.exe
    LegalCopyright : © Microsoft Corporation. All rights reserved.
    OriginalFilename : lsass.exe

    #:6 [svchost.exe]
    FilePath : C:\WINDOWS\system32\
    ProcessID : 744
    ThreadCreationTime : 30.03.2005 22:04:22
    BasePriority : Normal
    FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215
    ProductVersion : 5.1.2600.2180
    ProductName : Microsoft® Windows® Operating System
    CompanyName : Microsoft Corporation
    FileDescription : Generic Host Process for Win32 Services
    InternalName : svchost.exe
    LegalCopyright : © Microsoft Corporation. All rights reserved.
    OriginalFilename : svchost.exe

    #:7 [svchost.exe]
    FilePath : C:\WINDOWS\system32\
    ProcessID : 804
    ThreadCreationTime : 30.03.2005 22:04:22
    BasePriority : Normal
    FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215
    ProductVersion : 5.1.2600.2180
    ProductName : Microsoft® Windows® Operating System
    CompanyName : Microsoft Corporation
    FileDescription : Generic Host Process for Win32 Services
    InternalName : svchost.exe
    LegalCopyright : © Microsoft Corporation. All rights reserved.
    OriginalFilename : svchost.exe

    #:8 [svchost.exe]
    FilePath : C:\WINDOWS\System32\
    ProcessID : 884
    ThreadCreationTime : 30.03.2005 22:04:23
    BasePriority : Normal
    FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215
    ProductVersion : 5.1.2600.2180
    ProductName : Microsoft® Windows® Operating System
    CompanyName : Microsoft Corporation
    FileDescription : Generic Host Process for Win32 Services
    InternalName : svchost.exe
    LegalCopyright : © Microsoft Corporation. All rights reserved.
    OriginalFilename : svchost.exe

    #:9 [svchost.exe]
    FilePath : C:\WINDOWS\system32\
    ProcessID : 936
    ThreadCreationTime : 30.03.2005 22:04:23
    BasePriority : Normal
    FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215
    ProductVersion : 5.1.2600.2180
    ProductName : Microsoft® Windows® Operating System
    CompanyName : Microsoft Corporation
    FileDescription : Generic Host Process for Win32 Services
    InternalName : svchost.exe
    LegalCopyright : © Microsoft Corporation. All rights reserved.
    OriginalFilename : svchost.exe

    #:10 [svchost.exe]
    FilePath : C:\WINDOWS\system32\
    ProcessID : 984
    ThreadCreationTime : 30.03.2005 22:04:23
    BasePriority : Normal
    FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215
    ProductVersion : 5.1.2600.2180
    ProductName : Microsoft® Windows® Operating System
    CompanyName : Microsoft Corporation
    FileDescription : Generic Host Process for Win32 Services
    InternalName : svchost.exe
    LegalCopyright : © Microsoft Corporation. All rights reserved.
    OriginalFilename : svchost.exe

    #:11 [spoolsv.exe]
    FilePath : C:\WINDOWS\system32\
    ProcessID : 1172
    ThreadCreationTime : 30.03.2005 22:04:23
    BasePriority : Normal
    FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215
    ProductVersion : 5.1.2600.2180
    ProductName : Microsoft® Windows® Operating System
    CompanyName : Microsoft Corporation
    FileDescription : Spooler SubSystem App
    InternalName : spoolsv.exe
    LegalCopyright : © Microsoft Corporation. All rights reserved.
    OriginalFilename : spoolsv.exe

    #:12 [avwupsrv.exe]
    FilePath : d:\Programme\AVPersonal\
    ProcessID : 1296
    ThreadCreationTime : 30.03.2005 22:04:30
    BasePriority : Normal


    #:13 [nvsvc32.exe]
    FilePath : C:\WINDOWS\system32\
    ProcessID : 1344
    ThreadCreationTime : 30.03.2005 22:04:30
    BasePriority : Normal
    FileVersion : 6.14.10.6693
    ProductVersion : 6.14.10.6693
    ProductName : NVIDIA Driver Helper Service, Version 66.93
    CompanyName : NVIDIA Corporation
    FileDescription : NVIDIA Driver Helper Service, Version 66.93
    InternalName : NVSVC
    LegalCopyright : (C) NVIDIA Corporation. All rights reserved.
    OriginalFilename : nvsvc32.exe

    #:14 [wdfmgr.exe]
    FilePath : C:\WINDOWS\system32\
    ProcessID : 1460
    ThreadCreationTime : 30.03.2005 22:04:30
    BasePriority : Normal
    FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
    ProductVersion : 5.2.3790.1230
    ProductName : Microsoft® Windows® Operating System
    CompanyName : Microsoft Corporation
    FileDescription : Windows User Mode Driver Manager
    InternalName : WdfMgr
    LegalCopyright : © Microsoft Corporation. All rights reserved.
    OriginalFilename : WdfMgr.exe

    #:15 [explorer.exe]
    FilePath : C:\WINDOWS\
    ProcessID : 272
    ThreadCreationTime : 30.03.2005 22:04:54
    BasePriority : Normal
    FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-215
    ProductVersion : 6.00.2900.2180
    ProductName : Betriebssystem Microsoft® Windows®
    CompanyName : Microsoft Corporation
    FileDescription : Windows Explorer
    InternalName : explorer
    LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
    OriginalFilename : EXPLORER.EXE

    #:16 [services.exe]
    FilePath : C:\WINDOWS\
    ProcessID : 360
    ThreadCreationTime : 30.03.2005 22:04:56
    BasePriority : Normal


    #:17 [services.exe]
    FilePath : C:\WINDOWS\
    ProcessID : 488
    ThreadCreationTime : 30.03.2005 22:05:27
    BasePriority : Normal


    #:18 [services.exe]
    FilePath : C:\WINDOWS\
    ProcessID : 708
    ThreadCreationTime : 30.03.2005 22:05:28
    BasePriority : Normal


    #:19 [ctfmon.exe]
    FilePath : C:\WINDOWS\system32\
    ProcessID : 1324
    ThreadCreationTime : 30.03.2005 22:05:30
    BasePriority : Normal
    FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215
    ProductVersion : 5.1.2600.2180
    ProductName : Microsoft® Windows® Operating System
    CompanyName : Microsoft Corporation
    FileDescription : CTF Loader
    InternalName : CTFMON
    LegalCopyright : © Microsoft Corporation. All rights reserved.
    OriginalFilename : CTFMON.EXE

    #:20 [ad-aware.exe]
    FilePath : D:\Programme\Lavasoft\Ad-Aware SE Personal\
    ProcessID : 1880
    ThreadCreationTime : 30.03.2005 22:27:04
    BasePriority : Normal
    FileVersion : 6.2.0.206
    ProductVersion : VI.Second Edition
    ProductName : Lavasoft Ad-Aware SE
    CompanyName : Lavasoft Sweden
    FileDescription : Ad-Aware SE Core application
    InternalName : Ad-Aware.exe
    LegalCopyright : Copyright © Lavasoft Sweden
    OriginalFilename : Ad-Aware.exe
    Comments : All Rights Reserved

    Ergebnis des Arbeitsspeicherscans:
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»
    Neue kritische Objekte: 0
    Bisher gefundene Objekte: 0


    Registrierungsscan gestartet
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»

    Windows Objekt erkannt!
    Typ : RegData
    Daten : explorer.exe c:\windows\system32\fservice.exe
    Kategorie : Vulnerability
    Kommentar : Shell Possibly Compromised
    ROOTKEY : HKEY_LOCAL_MACHINE
    Objekt : software\microsoft\windows nt\currentversion\winlogon
    Wert : Shell
    Daten : explorer.exe c:\windows\system32\fservice.exe

    Ergebnis des Registrierungsscans:
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»
    Neue kritische Objekte: 1
    Bisher gefundene Objekte: 1


    Gründlicher Registrierungsscan gestartet
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»

    Ergebnis des gründlichen Registrierungsscans:
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»
    Neue kritische Objekte: 0
    Bisher gefundene Objekte: 1


    Tracking Cookie-Scan wurde gestartet
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»


    Ergebnis des Tracking Cookie-Scans:
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»
    Neue kritische Objekte: 0
    Bisher gefundene Objekte: 1



    Dateien werden gründlich gescannt und überprüft...
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»

    Ergebnis d. Datenträgerscans für C:\WINDOWS
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»
    Neue kritische Objekte: 0
    Bisher gefundene Objekte: 1

    Ergebnis d. Datenträgerscans für C:\WINDOWS\system32
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»
    Neue kritische Objekte: 0
    Bisher gefundene Objekte: 1

    Ergebnis d. Datenträgerscans für C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»
    Neue kritische Objekte: 0
    Bisher gefundene Objekte: 1


    Hosts-Datei wird gescannt......
    Pfad der Hosts-Datei:"C:\WINDOWS\system32\drivers\etc\hosts".
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»»» »

    Scanergebnis für Hosts-Datei:
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»
    1 Einträge gescannt.
    Neue kritische Objekte:0
    Bisher gefundene Objekte: 1



    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\app lets\wordpad\recent file list
    Beschreibung : list of recent files opened using wordpad


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\search assistant\acmru
    Beschreibung : list of recent search terms used with the search assistant


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\exp lorer\comdlg32\opensavemru
    Beschreibung : list of recently saved files, stored according to file extension


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\exp lorer\comdlg32\lastvisitedmru
    Beschreibung : list of recent programs opened


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\exp lorer\recentdocs
    Beschreibung : list of recent documents opened


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\internet explorer
    Beschreibung : last download directory used in microsoft internet explorer


    MRU List Objekt erkannt!
    Pfad: : software\microsoft\directdraw\mostrecentapplicatio n
    Beschreibung : most recent application to use microsoft directdraw


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\microsoft management console\recent file list
    Beschreibung : list of recent snap-ins used in the microsoft management console


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\ahead\nero - burning rom\recent file list
    Beschreibung : list of recently used files in nero burning rom


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences
    Beschreibung : last cd record path used in microsoft windows media player


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles
    Beschreibung : list of recently used files in adobe reader


    MRU List Objekt erkannt!
    Pfad: : .DEFAULT\software\microsoft\directinput\mostrecent application
    Beschreibung : most recent application to use microsoft directinput


    MRU List Objekt erkannt!
    Pfad: : S-1-5-18\software\microsoft\directinput\mostrecentapplic ation
    Beschreibung : most recent application to use microsoft directinput


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\directinput\mostrecentappl ication
    Beschreibung : most recent application to use microsoft directinput


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\player\setting s
    Beschreibung : last open directory used in jasc paint shop pro


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\direct3d\mostrecentapplica tion
    Beschreibung : most recent application to use microsoft direct3d


    MRU List Objekt erkannt!
    Pfad: : software\microsoft\direct3d\mostrecentapplication
    Beschreibung : most recent application to use microsoft direct3d


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences
    Beschreibung : last playlist index loaded in microsoft windows media player


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\app lets\regedit
    Beschreibung : last key accessed using the microsoft registry editor


    MRU List Objekt erkannt!
    Pfad: : .DEFAULT\software\microsoft\directinput\mostrecent application
    Beschreibung : most recent application to use microsoft directinput


    MRU List Objekt erkannt!
    Pfad: : S-1-5-18\software\microsoft\directinput\mostrecentapplic ation
    Beschreibung : most recent application to use microsoft directinput


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\directinput\mostrecentappl ication
    Beschreibung : most recent application to use microsoft directinput


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences
    Beschreibung : last playlist loaded in microsoft windows media player


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences
    Beschreibung : last search path used in microsoft windows media player


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\medialibraryui
    Beschreibung : last selected node in the microsoft windows media player media library


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\direct3d\mostrecentapplica tion
    Beschreibung : most recent application to use microsoft direct X


    MRU List Objekt erkannt!
    Pfad: : software\microsoft\direct3d\mostrecentapplication
    Beschreibung : most recent application to use microsoft direct X


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\winrar\dialogedithistory\extrpath
    Beschreibung : winrar "extract-to" history


    MRU List Objekt erkannt!
    Pfad: : .DEFAULT\software\microsoft\windows media\wmsdk\general
    Beschreibung : windows media sdk


    MRU List Objekt erkannt!
    Pfad: : S-1-5-18\software\microsoft\windows media\wmsdk\general
    Beschreibung : windows media sdk


    MRU List Objekt erkannt!
    Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows media\wmsdk\general
    Beschreibung : windows media sdk


    MRU List Objekt erkannt!
    Pfad: : C:\Dokumente und Einstellungen\master chief\recent
    Beschreibung : list of recently opened documents



    Bedingte Scans werden durchgeführt...
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»

    Ergebnis des bedingten Scans:
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»
    Neue kritische Objekte: 0
    Bisher gefundene Objekte: 33

    00:27:24 Scan abgeschlossen

    Scanzusammenfassung
    »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»
    Scandauer insges.:00:00:14.94
    Gescannte Objekte:55884
    Identifizierte Objekte:1
    Ignorierte Objekte:0
    Neue kritische Objekte:1
    Zitieren Zitieren
  4. #4
    Avatar von computerdirk
    computerdirk ist offline
    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Goslar
    Beiträge
    12.171

    Standard

    Hallöchen,

    fixen ist der Ausdruck für die Aktion mit HijackThis Einträge zu beheben. Wenn HijackThis seinen Scan abgechlossen hat, dann hast du ein Fenster mit den ganzen Einträgen. Vor jedem Eintrag ist ein kleines Kästchen das du markieren kannst. Die markierten Einträge werden dann von HijackThis entfernt bzw. korrigiert.

    Und das solltest du mit diesem Eintrag machen:

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
    Zitieren Zitieren
  5. #5
    Avatar von
    Themen Starter

    Standard

    hallo danke für die schnelle antwort.
    hab die datei gefixt anschließend windows im abgesicherten modus gestartet. habe aber auch dieses mal die fservice.exe nicht gefunden und ich hab überall suchen lassen auch explizit im syste32 ordner. naja habe dann antivir duchlaufen lassen und bekam 2 meldungen
    c:\windows\system32\reginv.dll und winkey.dll enthalten eine signatur des (gefährlichen) backdoorprogramms BDS/Prorat.19.l.2 bzw. ...19.l.3.
    auf den befehl hin die dateien zulöschen kam die meldung das diese gelockt seien und erst nach einem neustart gelöscht werden können auch nach dem neustart hat sich nichts geändert. was für ein teufelskreis wie komme ich da wieder raus?
    mfg columbus

    p.s: melde mich als admin an ist das so in ordnung?
    Zitieren Zitieren
  6. #6
    Avatar von computerdirk
    computerdirk ist offline
    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Goslar
    Beiträge
    12.171

    Standard

    Hallöchen,

    da es sich um einen Trojaner handelt ist es wahrscheinlich die beste Möglichkeit das Sytem komplett neu aufzusetzen. Danch vernünftig absichern und alle Passwörter etc. ändern

    Vergleiche auch: https://www.trojaner-board.de/archive...hp/t-1582.html

    Dort kommt man zur selbsen Ansicht.
    Zitieren Zitieren
  7. #7
    Avatar von
    Themen Starter

    Standard

    nochmals danke an dieser stelle werde mir erstmal den artikel andie brust legen was ich aber nicht verstehe wieseo finde ich die fservice.exe nicht ist das mit das verschulden des BDS oder fehlt mir die datei einfach
    mfg
    Zitieren Zitieren
« schutz vor trojaner Dyfuca?? | bei befall von backdoor? »

Ähnliche Themen

  1. HiJack Logfile analyse

    Von Pietzen im Forum Antivirus und PC Sicherheit
    Antworten: 6
    Letzter Beitrag: 13.08.2006, 17:19

  2. HiJack This Logfile

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 7
    Letzter Beitrag: 15.06.2005, 08:01

  3. HiJack This Logfile

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 4
    Letzter Beitrag: 09.06.2005, 07:35

  4. Hijack Logfile 2

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 1
    Letzter Beitrag: 01.04.2005, 16:42

  5. hijack this logfile

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 7
    Letzter Beitrag: 31.03.2005, 16:38

Benutzer, die dieses Thema gelesen haben: 0

Derzeit gibt es keine Benutzer zum Anzeigen.
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz