rasautou.exe / wmiprvse.exe–Prefetch | Frage
10 Beiträge • Seite 1 von 1
rasautou.exe / wmiprvse.exe–Prefetch | Frage
von Hutfrisur am 18.02.2005, 18:29
Hallo, ich habe eine Frage, vielleicht kann mir jemand helfen.
Meine Firewall hat folgende Verbindungen abgeblockt: rasautou.exe und wmiprvse.exe
Ich habe mit der Dateisuche danach gesucht. Die beiden, die mir Sorgen gemacht haben, waren jeweils neuere Prefetch-Dateien, nämlich
RASAUTOU.exe-18888A68.pf (15.02.2005)und
WMIPRVSE.EXE-28F301A9.pf (03.02.2005)
Norton, AdAware, TDS und CWShredder haben nichts gefunden.
Nachdem ich ClearProg benutzt habe, waren sie verschwunden. Meine Frage ist jetzt:
1. Hat sich die Sache damit erledigt?
2. Wofür waren sie da? (Eine blöde Frage vielleicht)
Vielen Dank!
Sicherheitshalber noch das HijackThis Log:
Logfile of HijackThis v1.99.1
Scan saved at 15:40:12, on 18.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\PowerS.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Dokumente und Einstellungen\Chefschnubbel\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [remotecontrol] C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
O4 - HKLM\..\Run: [Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe"
O4 - HKLM\..\Run: [Remote_Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\RemoteAgent.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://*.windowsupdate.com
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
Meine Firewall hat folgende Verbindungen abgeblockt: rasautou.exe und wmiprvse.exe
Ich habe mit der Dateisuche danach gesucht. Die beiden, die mir Sorgen gemacht haben, waren jeweils neuere Prefetch-Dateien, nämlich
RASAUTOU.exe-18888A68.pf (15.02.2005)und
WMIPRVSE.EXE-28F301A9.pf (03.02.2005)
Norton, AdAware, TDS und CWShredder haben nichts gefunden.
Nachdem ich ClearProg benutzt habe, waren sie verschwunden. Meine Frage ist jetzt:
1. Hat sich die Sache damit erledigt?
2. Wofür waren sie da? (Eine blöde Frage vielleicht)
Vielen Dank!
Sicherheitshalber noch das HijackThis Log:
Logfile of HijackThis v1.99.1
Scan saved at 15:40:12, on 18.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\PowerS.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Dokumente und Einstellungen\Chefschnubbel\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [remotecontrol] C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
O4 - HKLM\..\Run: [Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe"
O4 - HKLM\..\Run: [Remote_Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\RemoteAgent.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://*.windowsupdate.com
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
- Hutfrisur
- Beiträge: 8
- Registriert: 17.02.2005, 21:51
Re: rasautou.exe / wmiprvse.exe–Prefetch | Frage
von Yourhighness am 18.02.2005, 19:01
Hutfrisur hat geschrieben:Hallo, ich habe eine Frage, vielleicht kann mir jemand helfen.
Meine Firewall hat folgende Verbindungen abgeblockt: rasautou.exe und wmiprvse.exe
Ich habe mit der Dateisuche danach gesucht. Die beiden, die mir Sorgen gemacht haben, waren jeweils neuere Prefetch-Dateien, nämlich
RASAUTOU.exe-18888A68.pf (15.02.2005)und
WMIPRVSE.EXE-28F301A9.pf (03.02.2005)
Norton, AdAware, TDS und CWShredder haben nichts gefunden.
Nachdem ich ClearProg benutzt habe, waren sie verschwunden. Meine Frage ist jetzt:
1. Hat sich die Sache damit erledigt?
2. Wofür waren sie da? (Eine blöde Frage vielleicht)
Vielen Dank!
Da hast Du dir was eingefangen!
für rasaurou.exe lese mal hier:
http://board.protecus.de/showtopic.php?threadid=9554
und
[url]http://translate.google.com/translate?u=http%3A%2F%2Fwww.reger24.de
%2Fprozesse%2Fwmiprvse.exe.php&langpair=en%7Cde&hl=en&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_tools[/url] bzw original
http://www.reger24.de/prozesse/wmiprvse.exe.php
In deinem Log sind noch 1 oder 2 Sachen die gefixt werden müssen, leider hab ich gerade keine Zeit
.
Nikita hilft dir bestimmt so bald sie Zeit hat.
MfG,
- Yourhighness
von Hutfrisur am 19.02.2005, 16:51
Hilfe, seit gestern abend komme ich mit meinem Rechner gar nicht mehr ins Netz.
Und jetzt
Ich trau mich nicht so wirklich das zu machen, was in anderen Threads zu dem Thema steht, es könnte ja auch etwas anderes sein...
Und jetzt
Ich trau mich nicht so wirklich das zu machen, was in anderen Threads zu dem Thema steht, es könnte ja auch etwas anderes sein...
- Hutfrisur
- Beiträge: 8
- Registriert: 17.02.2005, 21:51
von Nikita am 21.02.2005, 15:28
Hallo@Hutfrisur
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: http://*.windowsupdate.com
PC neustarten
öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost
eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: http://*.windowsupdate.com
PC neustarten
öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost
eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Hutfrisur am 22.02.2005, 15:43
Hallo Nikita,
vielen Dank für deine Antwort. Ich mache das und melde mich wieder, evtl. erst morgen, je nachdem ob der Internetzugang funktioniert.
vielen Dank für deine Antwort. Ich mache das und melde mich wieder, evtl. erst morgen, je nachdem ob der Internetzugang funktioniert.
- Hutfrisur
- Beiträge: 8
- Registriert: 17.02.2005, 21:51
von Hutfrisur am 23.02.2005, 22:09
Hallo Nikita,
so, kurz mal die ganze Geschichte. Seit der rasautou-Warnmeldung habe ich Probleme beim Einwählen ins Internet (Modemverbindung, 56 KB). Das kann unterschiedlich aussehen. Entweder ist die Verbindung sehr langsam (4-12KB/s) oder ich bekomme folgende Meldungen:
"Seite ... nicht gefunden" (egal welche)
"Zeitüberschreitung beim Verbindungsaufbau zu..." (meistens erst beim zweiten Versuch, auf die erste Seite komme ich noch)
Als ich gar nicht reinkam, haben sich wohl Zone Alarm und die Windows-Firewall gegenseitig gestört. Letztere habe ich inzwischen abgeschaltet. Die Zone Alarm Firewall ist relativ neu drauf, erst seit 2-3 Tagen, vorher Securepoint.
Dank Zone Alarm bekomme ich mehr davon mit, was so passiert. svchost.exe und manchmal auch spoolsv.exe versucht Zugriff aufs Internet zu bekommen, auch wenn ich offline bin. (kann das evtl. AntiVir sein, das updaten will? hab ich ihm aber eigtl. testhalber verboten.)
Wenn ich online bin, werden von svchost.exe u.a. ausgehende Verbindungen über Port 1900 blockiert. Puh, ich hab mir ja ein paar Grundlagen angeeignet, aber jetzt...
So, hier das hijackthis-Log von heute mittag:
Logfile of HijackThis v1.99.1
Scan saved at 14:07:59, on 23.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Gast1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [remotecontrol] C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
O4 - HKLM\..\Run: [Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe"
O4 - HKLM\..\Run: [Remote_Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\RemoteAgent.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
eScan hat folgendes gemeldet:
File C:\WINDOWS\remove.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Pinnacle\Studio 8\OEM\hfx46studiosilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\YDKJ\Uninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\remove.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\SOFTWARE\DIVX5.05\DIVXBUNDLE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Pinnacle\Studio 8\OEM\hfx46studiosilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\YDKJ\Uninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\remove.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wenn ich im Log nach infected suche, finde ich nur das hier:
Wed Feb 23 02:56:34 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Vielen Dank!
Judith
so, kurz mal die ganze Geschichte. Seit der rasautou-Warnmeldung habe ich Probleme beim Einwählen ins Internet (Modemverbindung, 56 KB). Das kann unterschiedlich aussehen. Entweder ist die Verbindung sehr langsam (4-12KB/s) oder ich bekomme folgende Meldungen:
"Seite ... nicht gefunden" (egal welche)
"Zeitüberschreitung beim Verbindungsaufbau zu..." (meistens erst beim zweiten Versuch, auf die erste Seite komme ich noch)
Als ich gar nicht reinkam, haben sich wohl Zone Alarm und die Windows-Firewall gegenseitig gestört. Letztere habe ich inzwischen abgeschaltet. Die Zone Alarm Firewall ist relativ neu drauf, erst seit 2-3 Tagen, vorher Securepoint.
Dank Zone Alarm bekomme ich mehr davon mit, was so passiert. svchost.exe und manchmal auch spoolsv.exe versucht Zugriff aufs Internet zu bekommen, auch wenn ich offline bin. (kann das evtl. AntiVir sein, das updaten will? hab ich ihm aber eigtl. testhalber verboten.)
Wenn ich online bin, werden von svchost.exe u.a. ausgehende Verbindungen über Port 1900 blockiert. Puh, ich hab mir ja ein paar Grundlagen angeeignet, aber jetzt...
So, hier das hijackthis-Log von heute mittag:
Logfile of HijackThis v1.99.1
Scan saved at 14:07:59, on 23.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Gast1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [remotecontrol] C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe
O4 - HKLM\..\Run: [Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\Agent.exe"
O4 - HKLM\..\Run: [Remote_Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\RemoteAgent.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
eScan hat folgendes gemeldet:
File C:\WINDOWS\remove.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Pinnacle\Studio 8\OEM\hfx46studiosilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\YDKJ\Uninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\remove.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\SOFTWARE\DIVX5.05\DIVXBUNDLE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Pinnacle\Studio 8\OEM\hfx46studiosilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\YDKJ\Uninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\remove.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wenn ich im Log nach infected suche, finde ich nur das hier:
Wed Feb 23 02:56:34 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Vielen Dank!
Judith
- Hutfrisur
- Beiträge: 8
- Registriert: 17.02.2005, 21:51
von Nikita am 24.02.2005, 03:46
Hallo@Hutfrisur
Das Log ist sauber.
Du hast verschiedene Anwendungen im Autostart, die ueber Remote funktionieren.
Ueberpruefe das mal.
Welcher Service/welches Programm öffnet welchen Port?
lässt sich dies an der jeweiligen PID feststellen.
start<Ausfuehren<---> cmd
kopiere rein:
tasklist /svc
netstat -ano
tlist /s | find "PID
tasklist /svc | find "PID
_____________________________
Stelle doch zunächst einmal fest, welche Verbindungen in diesem
Moment von Deinem Rechner zu anderen bestehen und welche
Ports dabei verwendet werden. Eine Anzeige erhälst Du zwar auch
offline, die Ausgabe wird jedoch realer und interessanter, wenn Du
Dich zunächst ins Internet einwählst und einige Web-Seitenabrufst. Gib nun ein:
C:\netstat –a (beschreibende) oder
C:\netstat –an (numerische Portangabe)
_____________________________
Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
http://www.firewallleaktester.com/wwdc.htm
Das Log ist sauber.
Du hast verschiedene Anwendungen im Autostart, die ueber Remote funktionieren.
Ueberpruefe das mal.
Welcher Service/welches Programm öffnet welchen Port?
lässt sich dies an der jeweiligen PID feststellen.
start<Ausfuehren<---> cmd
kopiere rein:
tasklist /svc
netstat -ano
tlist /s | find "PID
tasklist /svc | find "PID
_____________________________
Stelle doch zunächst einmal fest, welche Verbindungen in diesem
Moment von Deinem Rechner zu anderen bestehen und welche
Ports dabei verwendet werden. Eine Anzeige erhälst Du zwar auch
offline, die Ausgabe wird jedoch realer und interessanter, wenn Du
Dich zunächst ins Internet einwählst und einige Web-Seitenabrufst. Gib nun ein:
C:\netstat –a (beschreibende) oder
C:\netstat –an (numerische Portangabe)
_____________________________
Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
http://www.firewallleaktester.com/wwdc.htm
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Hutfrisur am 25.02.2005, 20:49
Hallo Nikita,
sämtliche Autostart-Ordner sind jetzt leer. Vorher waren zwei Verknüpfungen drin (Exif-Launcher, gehört zum Fine Pix Viewer und eine MS Ofiice Verknüpfung) Ich hab sie in die jeweiligen Ordner verschoben.
Ich hab diesmal die IP mitgeschrieben, auf die svchost zugreifen wollte, als ich noch nicht online war: 239.255.255.250, Port 1900. Vllt. hilft das ja.
Dann war ich online (wieder langsame Verbindung) und kam wieder nur auf die allererste eingegebene Seite.
Nur einer der Dos-Befehle, die du mir genannt hattest, ließ sich ausführen (netstat). Dabei stand hinter einer Menge Adressen in der Liste "abhören". Heißt das, daß mein PC überwacht wird? Ja, oder?
Je nach Anmeldung (Admin oder Benutzer) waren die IPs leicht unterschiedlich.
Ich habe => Bildergemacht. Der andere Kram ist da noch drin, um die Netstat-Bilder wieder von der Startseite des Service runterzukriegen.
Kann ich diese ganzen Ports mit dem Worms Doors Cleaner zumachen, ohne daß es Störungen gibt? Und selbst wenn ich sie schließe - dann wäre der Wurm ja immer noch auf dem PC... huargs.
Vielen Dank!
sämtliche Autostart-Ordner sind jetzt leer. Vorher waren zwei Verknüpfungen drin (Exif-Launcher, gehört zum Fine Pix Viewer und eine MS Ofiice Verknüpfung) Ich hab sie in die jeweiligen Ordner verschoben.
Ich hab diesmal die IP mitgeschrieben, auf die svchost zugreifen wollte, als ich noch nicht online war: 239.255.255.250, Port 1900. Vllt. hilft das ja.
Dann war ich online (wieder langsame Verbindung) und kam wieder nur auf die allererste eingegebene Seite.
Nur einer der Dos-Befehle, die du mir genannt hattest, ließ sich ausführen (netstat). Dabei stand hinter einer Menge Adressen in der Liste "abhören". Heißt das, daß mein PC überwacht wird? Ja, oder?
Je nach Anmeldung (Admin oder Benutzer) waren die IPs leicht unterschiedlich.
Ich habe => Bildergemacht. Der andere Kram ist da noch drin, um die Netstat-Bilder wieder von der Startseite des Service runterzukriegen.
Kann ich diese ganzen Ports mit dem Worms Doors Cleaner zumachen, ohne daß es Störungen gibt? Und selbst wenn ich sie schließe - dann wäre der Wurm ja immer noch auf dem PC... huargs.
Vielen Dank!
- Hutfrisur
- Beiträge: 8
- Registriert: 17.02.2005, 21:51
von Nikita am 26.02.2005, 00:47
Port 1900 stellt eine Verbindung her zu: tcp/udp SSDP
In XP, the Simple Service Discovery Protocol (SSDP) discovery service searches for
>Universal Plug and Play devices on your home network. SSDP searches for upstream
___________________________________________________
den Windows Worms Doors Cleaner kannst du unbesorgt anwenden und falls es Probleme gibt, wegen dem deaktivierten Netbios, kannst du es jederzeit wieder aktivieren.
dann verzichte vielleicht auf den Zonealarm und aktiviere sicherheitshalber die Firewall von XP
dann kommt dazu, dass du zwei Virenscanner (Symantec+ Antivirus) unter den Diensten aktiv hast und das koennte auch zum Pervormanceverlust beitragen.
Ansonsten koennte eine Spyware in der Registry Veraenderungen vorgenommen haben. So vieles ist moeglich, aber ich sitze leider nicht vor dem PC und kann nachsehen.
Wenn ueberhaupt keine Besserung eintritt, sichere deine Daten und formatiere neu)
In XP, the Simple Service Discovery Protocol (SSDP) discovery service searches for
>Universal Plug and Play devices on your home network. SSDP searches for upstream
___________________________________________________
den Windows Worms Doors Cleaner kannst du unbesorgt anwenden und falls es Probleme gibt, wegen dem deaktivierten Netbios, kannst du es jederzeit wieder aktivieren.
dann verzichte vielleicht auf den Zonealarm und aktiviere sicherheitshalber die Firewall von XP
dann kommt dazu, dass du zwei Virenscanner (Symantec+ Antivirus) unter den Diensten aktiv hast und das koennte auch zum Pervormanceverlust beitragen.
Ansonsten koennte eine Spyware in der Registry Veraenderungen vorgenommen haben. So vieles ist moeglich, aber ich sitze leider nicht vor dem PC und kann nachsehen.
Wenn ueberhaupt keine Besserung eintritt, sichere deine Daten und formatiere neu)
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Hutfrisur am 26.02.2005, 16:41
Hallo Nikita,
ich hab mit dem Windows Worms Doors Cleaner jetzt alles zugemacht, was geht - und der Netzzugang läuft wieder wie früher.
Warum der Zugriff über Port 1900 erfolgt, hab ich zwar nicht komplett verstanden (ich wüßte nicht, weshalb da etwas suchen sollte), aber ich werde mal weiter forschen und den Zugriff weiter manuell verbieten...
Vielen, vielen Dank!
ich hab mit dem Windows Worms Doors Cleaner jetzt alles zugemacht, was geht - und der Netzzugang läuft wieder wie früher.
Warum der Zugriff über Port 1900 erfolgt, hab ich zwar nicht komplett verstanden (ich wüßte nicht, weshalb da etwas suchen sollte), aber ich werde mal weiter forschen und den Zugriff weiter manuell verbieten...
Vielen, vielen Dank!
- Hutfrisur
- Beiträge: 8
- Registriert: 17.02.2005, 21:51
10 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste