[arC4ne]

Hallo erstmal!

Ich hab ein beunruhigendes Problem.
Als ich heute routinemäßig mit msconfig die Systemstart gecheckt hab, viel mir ein Dienst ins Auge: Cddetescic . Keine Ahnunh woher der kommt.
Ich hatte sowas ähnliches schoneinmal. Immer wieder tauchten Dienste mit kryptischen Namen auf. Google fand nichts.
Seitdem hab ich das System komplett neu aufgesetzt und war die meiste Zeit als Benutzer angemeldet und nur seltenst als Admin. Aktueller GData Antivirenschutz und Kerio Personal Firewall ununterbrochen am laufen.
Um so verwunderlicher ist es, dass da schon wieder so was auftauch.

Was sagt ihr dazu?

greez

[flo]

Lad dir Hijackthis runter und poste das Log hier

www.hijackthis.de

Dieser Beitrag wurde von Flo01 bearbeitet: 05. Dezember 2004 - 20:08

[sкavєи]

Klingt nach irgendeinem CD-Kopierschutz-Identifier, hat da etwa jemand illegale software installiert (gehabt)?

[DK2000]

So einen komischen Dienst habe ich auch öfters drauf. Gerade auf der Installation nennt er sich Partvdse, ist von sich aus Disabled und hat keine ausführbare Datei, lediglich in der Registry steht, das er zur SpoolerGroup gehört. Das letzte mal hiess er anders, aber auch irgendwas, das sich mehr nach etwas zufälligem anhörte (acpdkd irgendsowas). War aber das selbe Spiel: Disabled, keine ausführbaren Datei und SpoolerGroup.

Bis jetzt habe ich keine Ahnung, wo das herkommt, zumal ich noch nichtmal genau weiß, wann es erscheint. Es ist irgendwann da der Eintrag und schön, da ist er. Aber ob er einen Sinn hat, den ich nicht sehe, k.a. Vielleicht weiß ja irgendwer anderst etwas darüber.

Dieser Beitrag wurde von DK2000 bearbeitet: 05. Dezember 2004 - 20:25

[Matze]

Zitat

Immer wieder tauchten Dienste mit kryptischen Namen auf.

Klingt nach einem TrojanDownloader.

[sкavєи]

Wie wär's mal mit Spybot S&D, Ad-Aware bzw. Virenscanner-Komplettcheck?

@Dick Turpin: Also ich nicht.

[Dick Turpin]

@-=TheSuicider=-

nicht gleich
"@Dick Turpin: Also ich nicht. "
hat ja auch keiner gesagt

mfg
dick turpin

Dieser Beitrag wurde von Dick Turpin bearbeitet: 05. Dezember 2004 - 20:57

[flo]

Laßt ihn doch erstma das Hijacklog Posten

[Rika]

Also entweder Kopierschutztreiber oder Trojaner, der Unterschied ist sehr sehr fließend...

[arC4ne]

So, hier ist mal der HijackThis-Log:

Zitat

Logfile of HijackThis v1.98.2
Scan saved at 23:14:28, on 05.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVirenKit 2004\AVKService.exe
D:\Programme\AntiVirenKit 2004\AVKWCtl.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\MsPMSPSv.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\msconfig.exe /auto
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative....007/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094751873375
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative....15008/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EC4EFB8-5214-4D17-A929-07307CE4C824}: NameServer = 212.185.253.9,194.25.2.129

Hab erst neulich einen Komplettsystemvirencheck laufen lassen, sowie AdAware und Spybot. Keine Treffer.

greez

P.S.: Ich frage mich nur, wie können unter normalen Benutzerrechten überhaupt Dienste installiert werden. Klar war ich zeitweise auch mit Adminrechten unterwegs, aber das war eher seltener...

[Ferax]

Auf www.hijackthis.de kannst du deine Log auswerten lassen .

[Dick Turpin]

hallo,
hab ich gemacht.
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\msconfig.exe /auto
ist böse Unbedingt fixen!

http://www.hijackthis.de/

mfg
dick turpin

[flo]

Und die beiden sind unnötig.

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Fixen mußt du im abgesicherten modus bei deaktivierter systemwiederherstellung.


und die .exe datei manuell Löschen

[arC4ne]

thx

Aber was sollte "böse" an msconfig sein? Sieht für mich so aus, als wär das die Meldung, die erscheint, wenn man was verändert hat. Und das hatte ich (den komischen Dienst deaktiviert).

Hmm, mal schaun ob da wieder ein Dienst auftaucht.

Sonst noch jemand eine Idee?

so, geh jetzt erst einmal ins Bett. n8

[Dick Turpin]

hallo,
hijackthis sagt böse also weg damit
egal ob es jetzt mit deinem fehler zutun hat oder nicht.

mfg
dick turpin

Dieser Beitrag wurde von Dick Turpin bearbeitet: 05. Dezember 2004 - 23:41