Hallo zusammen,
seid einiger Zeit poppt ein Fenster auf und will eine Internetverbindung nach d.pro.vg aufbauen. Kennt das einer? Google kennts jedenfalls nicht, HijackThis findet nichts, SpyBot ebenfalls nicht. AntiVir ist upgedatet und sagt: Alles save! Sygate stört sich auch nicht dran. Können dann ja nur nette Leute sein. :rolleyes:
In der Registry war was drin, hab ich gerade gelöscht. Mich würd aber interessieren woher das kommt und warum das nicht gefunden wird. :|
VG ist die ccTLD der Virgin Islands (was haben den die fürn Wetter?)

wundernd
BlauerEngel

mmm...

Wenn du das Log posten könntes, wäre es hilfreicher ;) ...

Laut Google gibt es dort http://d. pro. vg/~cateye/Adidas_1_Commercial_Song.Mp3 ...

Laut Google gibt es dort http://d. pro. vg/~cateye/Adidas_1_Commercial_Song.Mp3 ...

Komme ich nicht drauf. Auch nicht ohne Leerzeichen. MEIN Google findet das gar nicht.

Hier ist das HijackThis-Ergebnis

Logfile of HijackThis v1.99.1
Scan saved at 21:25:08, on 10.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\VMware\VMware Workstation\vmware-authd.exe
D:\WINDOWS\System32\vmnat.exe
D:\WINDOWS\System32\vmnetdhcp.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\winservice.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
D:\Programme\FreePDF_XP\fpassist.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\antiwucher\_antiwucher.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\SpamPal\spampal.exe
D:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
D:\WINDOWS\System32\wuauclt.exe
I:\Downloads\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/ct
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Win32 System Kernel] winservice.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Win32 System Kernel] winservice.exe
O4 - HKLM\..\RunOnce: [Win32 System Kernel] winservice.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32 System Kernel] winservice.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [Win32 System Kernel] winservice.exe
O4 - Startup: SpamPal.lnk = D:\Programme\SpamPal\spampal.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{84C30885-BDAB-4828-B95C-F6E742BE6B7D}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GhostStartService - Symantec Corporation - D:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - D:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - D:\WINDOWS\System32\vmnat.exe

Die HijackThis-Scripte sind immer so fürchterlich lang.


Gruß
BlauerEngel

D:\WINDOWS\System32\winservice.exe <--- Stinkt!!!
C:\Programme\antiwucher\_antiwucher.exe <--- Was ist das???

Aufräumen:
O4 - HKLM\..\Run: [Win32 System Kernel] winservice.exe
O4 - HKLM\..\RunServices: [Win32 System Kernel] winservice.exe
O4 - HKLM\..\RunOnce: [Win32 System Kernel] winservice.exe
O4 - HKCU\..\Run: [Win32 System Kernel] winservice.exe
O4 - HKCU\..\RunOnce: [Win32 System Kernel] winservice.exe

Sagt mir nicht viel, müssten normal sein:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

Die Winservice.exe kannst du mal zippen und hier (http://www.antivir.de/de/support/verdaechtige_dateien/index.html) hochladen, damit es beim nächsten Update von Antivir dabei ist. Alternativ kannst du die Datei mal bei
http://virusscan.jotti.org/
http://www.virustotal.com/flash/index_en.html
hochladen und gucken, wer das alles erkennt und ob das letzte Update den vielleicht schon kennt.

Was es nicht alles gibt :)

Hier mal das Ergebnis:
Datei: winservice.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH.UPOLYX, UPX

AntiVir - Heuristic/Backdoor.AgoBot gefunden (mögliche Variante)
ArcaVir - Keine Viren gefunden
Avast - Keine Viren gefunden
AVG Antivirus - Keine Viren gefunden
BitDefender - Backdoor.SDBot.3F3B8F8F gefunden
ClamAV - Trojan.Wootbot-17 gefunden
Dr.Web - Win32.IRC.Bot.based gefunden
F-Prot Antivirus - W32/Ircbot2.gen gefunden
Fortinet - Keine Viren gefunden
Kaspersky Anti-Virus - Backdoor.Win32.Wootbot.u gefunden
NOD32 - a variant of Win32/Wootbot gefunden
Norman Virus Control -
...Sandbox: W32/SDBot.gen2; [ General information ]
...* File length: 83456 bytes.
...
...[ Changes to filesystem ]
...* Creates file C:\WINDOWS\SYSTEM\winservice.exe. gefunden
UNA - Keine Viren gefunden
VBA32 - Backdoor.Win32.Wootbot.u gefunden

So ganz einig sind die sich ja nicht. Aber insgesamt ists wohl böse.

Hab die Datei gelöscht und boote jetzt mal neu. In der Registry waren auch einige Einträge - waren! Mit einem einem GhostImage in der Hinterhand boote ich jetzt neu.

Bootend :cool:
BlauerEngel

Läuft noch alles :biggrin:

Da waren bestimmt 10 oder 12 Einträge in der Registry.
Erst bei den letzten stand dann auch was mit Kernel... Das hat mich etwas nervös gemacht. Da ich aber angefangen hatte zu löschen, dachte ich mir, das jetzt auch alle gelöscht werden können, da die Installation zu diesem Zeitpunkt eh schon kaputt gewesen wäre.
Ist sie aber anscheinend nicht.

Warte jetzt mal ab ob das Fenster nochmal aufpoppt. :nono:

Gruß
BlauerEngel

Überprüfe auch die Hosts Datei ! Nicht das der da lustige Umleitungen reingeschrieben hat !
Zu finden unter /windows/system32/drivers/ect

MfG
Rooter

Hab die Datei gelöscht und boote jetzt mal neu. In der Registry waren auch einige Einträge - waren! Mit einem einem GhostImage in der Hinterhand boote ich jetzt neu.mmm...

Schade, die Datei hast du dann wohl nicht an Antivir gemailt. Laut der Meldung erkennt die Heuristic das Teil, aber wohl als falsches Modell und die Heuristik ist im Normalfall ausgestellt ...