hijack this logfile

30.03.2005, 17:05

Könnte mir mal bitte einer sagen ob da alles richtig ist !
Das AntiVir meldet bei jedem start das die datei system32\WINKEY.DLL enthält Signatur BDS/Prorat19.l.3. Nichts hilft bei jedem Start das gleiche.
Beim Runterfahren reagiert dann die services.exe nicht mehr muss sofort beenden drücken und sehr lange warten bis er runterfährt!

Logfile of HijackThis v1.99.1
Scan saved at 15:09:10, on 28.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\ctfmon.exe
D:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6770728078
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

computerdirk · 30.03.2005, 22:37

Hallöchen,

also unbedingt folgenden Eintrag fixen:

Zitat:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe - Böse

Danach den Rechner im abgesicherten Modus starten und diese .exe Datei löschen. Dann gleich dort auch Antivir durchlaufen lassen...

Auch die Datenträgerbereinigung durchführen, damit die Temporären Dateien gelöscht werden...

Vorher aber die Systemwiederherstellung unbedingt deaktivieren...

30.03.2005, 23:25

Hallo danke erst mal für die hilfe.
1. hab im abgesicherten modus gestartet.
2. systemwiederherstellung deaktiviert.
habe aber die datei fservice.exe nicht gefunden. habe auch nach der datei suchen lassen im ordner system32. was soll ich unter dem begriff "fixen" verstehen, da ich direkt mit punkt 1. begonnen habe.
nochmals danke für die schnelle antwort. hoffe weiterhin auf deine hilfe.
mfg

hier die logfiles von hijack und adaware

Logfile of HijackThis v1.99.1
Scan saved at 00:08:42, on 31.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\ctfmon.exe
D:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6770728078
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

------------------------------------------------------------------------------------

Ad-Aware SE Build 1.05
Protokolldatei erstellt am

onnerstag, 31. März 2005 00:27:10
Created with Ad-Aware SE Personal, free for private use.
Verwendete Definitionsdatei:SE1R33 16.03.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »

Während des Scannings identifizierte Referenzen:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC-Index:0):32 Referenzen insgesamt
Windows(TAC-Index:3):1 Referenzen insgesamt
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Festlegen : Nach unbedeutenden Risikoeinträgen suchen
Festlegen : Sicherer Modus (stets Bestätigung abfragen)
Festlegen : Aktive Prozesse scannen
Festlegen : Registrierung scannen
Festlegen : Registrierung gründlich scannen
Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen
Festlegen : In Archiven scannen
Festlegen : Hosts-Datei scannen

Extended Ad-Aware SE Settings
===========================
Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf.
Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen
Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen
Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf.
Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen
Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen
Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren
Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren
Festlegen : Referenz-Zusammenfassung protokollieren
Festlegen : Details zu alternativen Datenströmen protokollieren
Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen

31.03.2005 00:27:10 - Scanning wurde gestartet. (Intelligenter Modus)

Liste der laufenden Prozesse
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 460
ThreadCreationTime : 30.03.2005 22:04:20
BasePriority : Normal

#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 516
ThreadCreationTime : 30.03.2005 22:04:21
BasePriority : Normal

#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 540
ThreadCreationTime : 30.03.2005 22:04:22
BasePriority : High

#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 584
ThreadCreationTime : 30.03.2005 22:04:22
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215

ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 596
ThreadCreationTime : 30.03.2005 22:04:22
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215

ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 744
ThreadCreationTime : 30.03.2005 22:04:22
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215

ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 804
ThreadCreationTime : 30.03.2005 22:04:22
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215

ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 884
ThreadCreationTime : 30.03.2005 22:04:23
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215

ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 936
ThreadCreationTime : 30.03.2005 22:04:23
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215

ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 984
ThreadCreationTime : 30.03.2005 22:04:23
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215

ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1172
ThreadCreationTime : 30.03.2005 22:04:23
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215

ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:12 [avwupsrv.exe]
FilePath : d:\Programme\AVPersonal\
ProcessID : 1296
ThreadCreationTime : 30.03.2005 22:04:30
BasePriority : Normal

#:13 [nvsvc32.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1344
ThreadCreationTime : 30.03.2005 22:04:30
BasePriority : Normal
FileVersion : 6.14.10.6693
ProductVersion : 6.14.10.6693
ProductName : NVIDIA Driver Helper Service, Version 66.93
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 66.93
InternalName : NVSVC
LegalCopyright : (C) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:14 [wdfmgr.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1460
ThreadCreationTime : 30.03.2005 22:04:30
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:15 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 272
ThreadCreationTime : 30.03.2005 22:04:54
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-215

ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:16 [services.exe]
FilePath : C:\WINDOWS\
ProcessID : 360
ThreadCreationTime : 30.03.2005 22:04:56
BasePriority : Normal

#:17 [services.exe]
FilePath : C:\WINDOWS\
ProcessID : 488
ThreadCreationTime : 30.03.2005 22:05:27
BasePriority : Normal

#:18 [services.exe]
FilePath : C:\WINDOWS\
ProcessID : 708
ThreadCreationTime : 30.03.2005 22:05:28
BasePriority : Normal

#:19 [ctfmon.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1324
ThreadCreationTime : 30.03.2005 22:05:30
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215

ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:20 [ad-aware.exe]
FilePath : D:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 1880
ThreadCreationTime : 30.03.2005 22:27:04
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Ergebnis des Arbeitsspeicherscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 0

Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Windows Objekt erkannt!
Typ : RegData
Daten : explorer.exe c:\windows\system32\fservice.exe
Kategorie : Vulnerability
Kommentar : Shell Possibly Compromised
ROOTKEY : HKEY_LOCAL_MACHINE
Objekt : software\microsoft\windows nt\currentversion\winlogon
Wert : Shell
Daten : explorer.exe c:\windows\system32\fservice.exe

Ergebnis des Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 1
Bisher gefundene Objekte: 1

Gründlicher Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des gründlichen Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 1

Tracking Cookie-Scan wurde gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des Tracking Cookie-Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 1

Dateien werden gründlich gescannt und überprüft...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 1

Ergebnis d. Datenträgerscans für C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 1

Ergebnis d. Datenträgerscans für C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 1

Hosts-Datei wird gescannt......
Pfad der Hosts-Datei:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»»»»

Scanergebnis für Hosts-Datei:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 Einträge gescannt.
Neue kritische Objekte:0
Bisher gefundene Objekte: 1

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\app lets\wordpad\recent file list
Beschreibung : list of recent files opened using wordpad

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\search assistant\acmru
Beschreibung : list of recent search terms used with the search assistant

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\exp lorer\comdlg32\opensavemru
Beschreibung : list of recently saved files, stored according to file extension

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\exp lorer\comdlg32\lastvisitedmru
Beschreibung : list of recent programs opened

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\exp lorer\recentdocs
Beschreibung : list of recent documents opened

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\internet explorer
Beschreibung : last download directory used in microsoft internet explorer

MRU List Objekt erkannt!
Pfad: : software\microsoft\directdraw\mostrecentapplicatio n
Beschreibung : most recent application to use microsoft directdraw

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\microsoft management console\recent file list
Beschreibung : list of recent snap-ins used in the microsoft management console

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\ahead\nero - burning rom\recent file list
Beschreibung : list of recently used files in nero burning rom

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences
Beschreibung : last cd record path used in microsoft windows media player

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles
Beschreibung : list of recently used files in adobe reader

MRU List Objekt erkannt!
Pfad: : .DEFAULT\software\microsoft\directinput\mostrecent application
Beschreibung : most recent application to use microsoft directinput

MRU List Objekt erkannt!
Pfad: : S-1-5-18\software\microsoft\directinput\mostrecentapplic ation
Beschreibung : most recent application to use microsoft directinput

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\directinput\mostrecentappl ication
Beschreibung : most recent application to use microsoft directinput

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\player\setting s
Beschreibung : last open directory used in jasc paint shop pro

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\direct3d\mostrecentapplica tion
Beschreibung : most recent application to use microsoft direct3d

MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct3d

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences
Beschreibung : last playlist index loaded in microsoft windows media player

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\app lets\regedit
Beschreibung : last key accessed using the microsoft registry editor

MRU List Objekt erkannt!
Pfad: : .DEFAULT\software\microsoft\directinput\mostrecent application
Beschreibung : most recent application to use microsoft directinput

MRU List Objekt erkannt!
Pfad: : S-1-5-18\software\microsoft\directinput\mostrecentapplic ation
Beschreibung : most recent application to use microsoft directinput

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\directinput\mostrecentappl ication
Beschreibung : most recent application to use microsoft directinput

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences
Beschreibung : last playlist loaded in microsoft windows media player

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences
Beschreibung : last search path used in microsoft windows media player

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\medialibraryui
Beschreibung : last selected node in the microsoft windows media player media library

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\direct3d\mostrecentapplica tion
Beschreibung : most recent application to use microsoft direct X

MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct X

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\winrar\dialogedithistory\extrpath
Beschreibung : winrar "extract-to" history

MRU List Objekt erkannt!
Pfad: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk

MRU List Objekt erkannt!
Pfad: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk

MRU List Objekt erkannt!
Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk

MRU List Objekt erkannt!
Pfad: : C:\Dokumente und Einstellungen\master chief\recent
Beschreibung : list of recently opened documents

Bedingte Scans werden durchgeführt...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des bedingten Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 33

00:27:24 Scan abgeschlossen

Scanzusammenfassung
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Scandauer insges.:00:00:14.94
Gescannte Objekte:55884
Identifizierte Objekte:1
Ignorierte Objekte:0
Neue kritische Objekte:1

computerdirk · 31.03.2005, 09:43

Hallöchen,

fixen ist der Ausdruck für die Aktion mit HijackThis Einträge zu beheben. Wenn HijackThis seinen Scan abgechlossen hat, dann hast du ein Fenster mit den ganzen Einträgen. Vor jedem Eintrag ist ein kleines Kästchen das du markieren kannst. Die markierten Einträge werden dann von HijackThis entfernt bzw. korrigiert.

Und das solltest du mit diesem Eintrag machen:

Zitat:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

31.03.2005, 12:09

hallo danke für die schnelle antwort.
hab die datei gefixt anschließend windows im abgesicherten modus gestartet. habe aber auch dieses mal die fservice.exe nicht gefunden und ich hab überall suchen lassen auch explizit im syste32 ordner. naja habe dann antivir duchlaufen lassen und bekam 2 meldungen
c:\windows\system32\reginv.dll und winkey.dll enthalten eine signatur des (gefährlichen) backdoorprogramms BDS/Prorat.19.l.2 bzw. ...19.l.3.
auf den befehl hin die dateien zulöschen kam die meldung das diese gelockt seien und erst nach einem neustart gelöscht werden können auch nach dem neustart hat sich nichts geändert. was für ein teufelskreis wie komme ich da wieder raus?
mfg columbus

p.s: melde mich als admin an ist das so in ordnung?

computerdirk · 31.03.2005, 12:16

Hallöchen,

da es sich um einen Trojaner handelt ist es wahrscheinlich die beste Möglichkeit das Sytem komplett neu aufzusetzen. Danch vernünftig absichern und alle Passwörter etc. ändern

Vergleiche auch: http://www.trojaner-board.de/archive...hp/t-1582.html

Dort kommt man zur selbsen Ansicht.

31.03.2005, 12:21

nochmals danke an dieser stelle werde mir erstmal den artikel andie brust legen was ich aber nicht verstehe wieseo finde ich die fservice.exe nicht ist das mit das verschulden des BDS oder fehlt mir die datei einfach
mfg

30.03.2005, 17:05	#1
Gast Beiträge: n/a	hijack this logfile Könnte mir mal bitte einer sagen ob da alles richtig ist ! Das AntiVir meldet bei jedem start das die datei system32\WINKEY.DLL enthält Signatur BDS/Prorat19.l.3. Nichts hilft bei jedem Start das gleiche. Beim Runterfahren reagiert dann die services.exe nicht mehr muss sofort beenden drücken und sehr lange warten bis er runterfährt! Logfile of HijackThis v1.99.1 Scan saved at 15:09:10, on 28.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\services.exe C:\WINDOWS\services.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\ctfmon.exe D:\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6770728078 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

30.03.2005, 23:25	#3
Gast Beiträge: n/a	Hallo danke erst mal für die hilfe. 1. hab im abgesicherten modus gestartet. 2. systemwiederherstellung deaktiviert. habe aber die datei fservice.exe nicht gefunden. habe auch nach der datei suchen lassen im ordner system32. was soll ich unter dem begriff "fixen" verstehen, da ich direkt mit punkt 1. begonnen habe. nochmals danke für die schnelle antwort. hoffe weiterhin auf deine hilfe. mfg hier die logfiles von hijack und adaware Logfile of HijackThis v1.99.1 Scan saved at 00:08:42, on 31.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\services.exe C:\WINDOWS\services.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\ctfmon.exe D:\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_ 18_0.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6770728078 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe ------------------------------------------------------------------------------------ Ad-Aware SE Build 1.05 Protokolldatei erstellt amonnerstag, 31. März 2005 00:27:10 Created with Ad-Aware SE Personal, free for private use. Verwendete Definitionsdatei:SE1R33 16.03.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» » Während des Scannings identifizierte Referenzen: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC-Index:0):32 Referenzen insgesamt Windows(TAC-Index:3):1 Referenzen insgesamt »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Festlegen : Nach unbedeutenden Risikoeinträgen suchen Festlegen : Sicherer Modus (stets Bestätigung abfragen) Festlegen : Aktive Prozesse scannen Festlegen : Registrierung scannen Festlegen : Registrierung gründlich scannen Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen Festlegen : In Archiven scannen Festlegen : Hosts-Datei scannen Extended Ad-Aware SE Settings =========================== Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf. Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf. Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren Festlegen : Referenz-Zusammenfassung protokollieren Festlegen : Details zu alternativen Datenströmen protokollieren Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen 31.03.2005 00:27:10 - Scanning wurde gestartet. (Intelligenter Modus) Liste der laufenden Prozesse »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 460 ThreadCreationTime : 30.03.2005 22:04:20 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 516 ThreadCreationTime : 30.03.2005 22:04:21 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 540 ThreadCreationTime : 30.03.2005 22:04:22 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 584 ThreadCreationTime : 30.03.2005 22:04:22 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215 ProductVersion : 5.1.2600.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 596 ThreadCreationTime : 30.03.2005 22:04:22 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215 ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 744 ThreadCreationTime : 30.03.2005 22:04:22 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215 ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 804 ThreadCreationTime : 30.03.2005 22:04:22 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215 ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 884 ThreadCreationTime : 30.03.2005 22:04:23 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215 ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 936 ThreadCreationTime : 30.03.2005 22:04:23 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215 ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 984 ThreadCreationTime : 30.03.2005 22:04:23 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215 ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:11 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1172 ThreadCreationTime : 30.03.2005 22:04:23 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215 ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:12 [avwupsrv.exe] FilePath : d:\Programme\AVPersonal\ ProcessID : 1296 ThreadCreationTime : 30.03.2005 22:04:30 BasePriority : Normal #:13 [nvsvc32.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1344 ThreadCreationTime : 30.03.2005 22:04:30 BasePriority : Normal FileVersion : 6.14.10.6693 ProductVersion : 6.14.10.6693 ProductName : NVIDIA Driver Helper Service, Version 66.93 CompanyName : NVIDIA Corporation FileDescription : NVIDIA Driver Helper Service, Version 66.93 InternalName : NVSVC LegalCopyright : (C) NVIDIA Corporation. All rights reserved. OriginalFilename : nvsvc32.exe #:14 [wdfmgr.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1460 ThreadCreationTime : 30.03.2005 22:04:30 BasePriority : Normal FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act) ProductVersion : 5.2.3790.1230 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Windows User Mode Driver Manager InternalName : WdfMgr LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : WdfMgr.exe #:15 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 272 ThreadCreationTime : 30.03.2005 22:04:54 BasePriority : Normal FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-215 ProductVersion : 6.00.2900.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:16 [services.exe] FilePath : C:\WINDOWS\ ProcessID : 360 ThreadCreationTime : 30.03.2005 22:04:56 BasePriority : Normal #:17 [services.exe] FilePath : C:\WINDOWS\ ProcessID : 488 ThreadCreationTime : 30.03.2005 22:05:27 BasePriority : Normal #:18 [services.exe] FilePath : C:\WINDOWS\ ProcessID : 708 ThreadCreationTime : 30.03.2005 22:05:28 BasePriority : Normal #:19 [ctfmon.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1324 ThreadCreationTime : 30.03.2005 22:05:30 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-215 ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : CTF Loader InternalName : CTFMON LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : CTFMON.EXE #:20 [ad-aware.exe] FilePath : D:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 1880 ThreadCreationTime : 30.03.2005 22:27:04 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Ergebnis des Arbeitsspeicherscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 0 Registrierungsscan gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Windows Objekt erkannt! Typ : RegData Daten : explorer.exe c:\windows\system32\fservice.exe Kategorie : Vulnerability Kommentar : Shell Possibly Compromised ROOTKEY : HKEY_LOCAL_MACHINE Objekt : software\microsoft\windows nt\currentversion\winlogon Wert : Shell Daten : explorer.exe c:\windows\system32\fservice.exe Ergebnis des Registrierungsscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 1 Bisher gefundene Objekte: 1 Gründlicher Registrierungsscan gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des gründlichen Registrierungsscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 1 Tracking Cookie-Scan wurde gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des Tracking Cookie-Scans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 1 Dateien werden gründlich gescannt und überprüft... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis d. Datenträgerscans für C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 1 Ergebnis d. Datenträgerscans für C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 1 Ergebnis d. Datenträgerscans für C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 1 Hosts-Datei wird gescannt...... Pfad der Hosts-Datei:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»»»» Scanergebnis für Hosts-Datei: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 1 Einträge gescannt. Neue kritische Objekte:0 Bisher gefundene Objekte: 1 MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\app lets\wordpad\recent file list Beschreibung : list of recent files opened using wordpad MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\search assistant\acmru Beschreibung : list of recent search terms used with the search assistant MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\exp lorer\comdlg32\opensavemru Beschreibung : list of recently saved files, stored according to file extension MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\exp lorer\comdlg32\lastvisitedmru Beschreibung : list of recent programs opened MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\exp lorer\recentdocs Beschreibung : list of recent documents opened MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\internet explorer Beschreibung : last download directory used in microsoft internet explorer MRU List Objekt erkannt! Pfad: : software\microsoft\directdraw\mostrecentapplicatio n Beschreibung : most recent application to use microsoft directdraw MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\microsoft management console\recent file list Beschreibung : list of recent snap-ins used in the microsoft management console MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\ahead\nero - burning rom\recent file list Beschreibung : list of recently used files in nero burning rom MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences Beschreibung : last cd record path used in microsoft windows media player MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles Beschreibung : list of recently used files in adobe reader MRU List Objekt erkannt! Pfad: : .DEFAULT\software\microsoft\directinput\mostrecent application Beschreibung : most recent application to use microsoft directinput MRU List Objekt erkannt! Pfad: : S-1-5-18\software\microsoft\directinput\mostrecentapplic ation Beschreibung : most recent application to use microsoft directinput MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\directinput\mostrecentappl ication Beschreibung : most recent application to use microsoft directinput MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\player\setting s Beschreibung : last open directory used in jasc paint shop pro MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\direct3d\mostrecentapplica tion Beschreibung : most recent application to use microsoft direct3d MRU List Objekt erkannt! Pfad: : software\microsoft\direct3d\mostrecentapplication Beschreibung : most recent application to use microsoft direct3d MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences Beschreibung : last playlist index loaded in microsoft windows media player MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows\currentversion\app lets\regedit Beschreibung : last key accessed using the microsoft registry editor MRU List Objekt erkannt! Pfad: : .DEFAULT\software\microsoft\directinput\mostrecent application Beschreibung : most recent application to use microsoft directinput MRU List Objekt erkannt! Pfad: : S-1-5-18\software\microsoft\directinput\mostrecentapplic ation Beschreibung : most recent application to use microsoft directinput MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\directinput\mostrecentappl ication Beschreibung : most recent application to use microsoft directinput MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences Beschreibung : last playlist loaded in microsoft windows media player MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\preferences Beschreibung : last search path used in microsoft windows media player MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\mediaplayer\medialibraryui Beschreibung : last selected node in the microsoft windows media player media library MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\direct3d\mostrecentapplica tion Beschreibung : most recent application to use microsoft direct X MRU List Objekt erkannt! Pfad: : software\microsoft\direct3d\mostrecentapplication Beschreibung : most recent application to use microsoft direct X MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\winrar\dialogedithistory\extrpath Beschreibung : winrar "extract-to" history MRU List Objekt erkannt! Pfad: : .DEFAULT\software\microsoft\windows media\wmsdk\general Beschreibung : windows media sdk MRU List Objekt erkannt! Pfad: : S-1-5-18\software\microsoft\windows media\wmsdk\general Beschreibung : windows media sdk MRU List Objekt erkannt! Pfad: : S-1-5-21-484763869-484061587-839522115-1003\software\microsoft\windows media\wmsdk\general Beschreibung : windows media sdk MRU List Objekt erkannt! Pfad: : C:\Dokumente und Einstellungen\master chief\recent Beschreibung : list of recently opened documents Bedingte Scans werden durchgeführt... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des bedingten Scans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 33 00:27:24 Scan abgeschlossen Scanzusammenfassung »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Scandauer insges.:00:00:14.94 Gescannte Objekte:55884 Identifizierte Objekte:1 Ignorierte Objekte:0 Neue kritische Objekte:1

31.03.2005, 12:16	#6
computerdirk Benutzer Registriert seit: 07.01.2005 Ort: Goslar Beiträge: 12.169	Hallöchen, da es sich um einen Trojaner handelt ist es wahrscheinlich die beste Möglichkeit das Sytem komplett neu aufzusetzen. Danch vernünftig absichern und alle Passwörter etc. ändern Vergleiche auch: http://www.trojaner-board.de/archive...hp/t-1582.html Dort kommt man zur selbsen Ansicht. __________________ Mit freundlichen Grüßen Dirk Löbe alias Computerdirk Computerhilfe \| Webdesign in Goslar

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen für: hijack this logfile
Thema	Autor	Forum	Antworten	Letzter Beitrag
hijack logfile - brauche Hilfe! Hallo! Ich habe mir gestern einen Virus eingefangen. Laut McAfee LogFile: 10.09.2006 22:40:38 Verschoben (Säuberung fehlgeschlagen, da die...	FCEFAN	Antivirus und PC Sicherheit	12	22.09.2006 10:20
HiJack This Logfile Hi Leute, habe eher durch Zufall diese Seite gefunden und bin begeistert! Mein eigentliches Problem ist: Trotz DSL bauen Seiten mit egal...		Antivirus und PC Sicherheit	7	15.06.2005 09:01
HiJack This Logfile selbes problem wie bei den anderen... kann mir da einer helfen? Logfile of HijackThis v1.99.1 Scan saved at 18:20:37, on 08.06.2005...		Antivirus und PC Sicherheit	4	09.06.2005 08:35
Hijack Logfile 2 hallo ich bins nochmal ich hab einen hijack logfile vom Freund der kann im moment nicht ins Internet bitte schau malnach den log. Logfile of...		Antivirus und PC Sicherheit	1	01.04.2005 17:42
hijack this logfile hallo, ich habe ein problem und zwar dass mein internet explorer immer als startseite web search festlegt und ich habe gelsen mit dem programm hijack...		Antivirus und PC Sicherheit	7	31.03.2005 17:38

31.03.2005, 12:09	#5
Gast Beiträge: n/a	hallo danke für die schnelle antwort. hab die datei gefixt anschließend windows im abgesicherten modus gestartet. habe aber auch dieses mal die fservice.exe nicht gefunden und ich hab überall suchen lassen auch explizit im syste32 ordner. naja habe dann antivir duchlaufen lassen und bekam 2 meldungen c:\windows\system32\reginv.dll und winkey.dll enthalten eine signatur des (gefährlichen) backdoorprogramms BDS/Prorat.19.l.2 bzw. ...19.l.3. auf den befehl hin die dateien zulöschen kam die meldung das diese gelockt seien und erst nach einem neustart gelöscht werden können auch nach dem neustart hat sich nichts geändert. was für ein teufelskreis wie komme ich da wieder raus? mfg columbus p.s: melde mich als admin an ist das so in ordnung?

31.03.2005, 12:21	#7
Gast Beiträge: n/a	nochmals danke an dieser stelle werde mir erstmal den artikel andie brust legen was ich aber nicht verstehe wieseo finde ich die fservice.exe nicht ist das mit das verschulden des BDS oder fehlt mir die datei einfach mfg

hijack this logfile

hijack this logfile

Ähnliche Themen für: hijack this logfile