Hallo
Habe heute mal wieder meinen rechner mit HijackThis gescannt und einige cthelper einträge gefunden siehe hier:

Logfile of HijackThis v1.99.1
Scan saved at 20:16:41, on 09.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\cthelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\Dani\Internet\HijackThis.exe
C:\WINDOWS\regedit.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dear-sister.de.vu/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.veroweb.com/ads/track.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CTHelper] cthelper.exe
O4 - HKLM\..\RunServices: [CTHelper] cthelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTHelper] cthelper.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunServices: [CTHelper] cthelper.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/16c29b7e...dxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EE1257E-0A54-4B3B-9793-5AB2A18374D6}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED0B98C9-1AF0-4180-AA9C-6A13FF93B19D}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


Nun wollte ich fragen, was dieses cthelper eigentlich ist und wenn es "böse" ist, wie ich es dann von meinem pc bekommen. Außerdem wäre eine insgesamte Auswertung auch nicht schlecht
Danke schonmal im vorraus

glg, Dani

Hallo,

Zitat:

einige cthelper einträge gefunden

Unbedenklich, siehe http://www.iamnotageek.com/a/cthelper.exe.php.

Ansonsten ist dein Log-File sauber, dennoch solltest du mindestens Punkt 5 und 6 vom Link in meiner Signatur abarbeiten und die Links unter 'Lesenswerte Lektüre für die Zukunft' lesen.

Ganz sicher unbedenklich??? Also muss ich den nicht löschen??? Wüsste eigentlich auch nicht wie ^.^ weil auf manchen seiten steht das es malware is..... und auf dem link von dir steht, dass cthelper ein programm von creative ist, ich habe aber nichts von creative auf meinem pc.

Achja, mein ad-aware hat ihn auch nciht gefunden....

lg, Dani

Zitat:

ich habe aber nichts von creative auf meinem pc.

Bist du Dir da sicher, dass deine Soundkarte nicht von Creative ist?!

Zitat:

Ganz sicher unbedenklich?

Wenn es dich beruhigt, dann überprüfe diese Datei bei http://virusscan.jotti.org/ und poste ggf. das Ergebnis.

ich weiß etz nicht genau, was das bedeuten soll. Hab die datei hochgeladen, hier das ergebnis:

Service load: 0% 100%

File: cthelper.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.92 seconds taken)
Avast Win32:SpyBot-A334 (1.52 seconds taken)
AVG Antivirus IRC/BackDoor.SdBot.151.BO (0.55 seconds taken)
BitDefender Backdoor.SDBot.RX (0.51 seconds taken)
ClamAV Trojan.SdBot-453 (0.61 seconds taken)
Dr.Web Win32.HLLW.MyBot (0.90 seconds taken)
F-Prot Antivirus No viruses found (0.26 seconds taken)
Fortinet No viruses found (0.42 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.kz (0.99 seconds taken)
mks_vir No viruses found (0.23 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.63 seconds taken)
Norman Virus Control Sandbox: W32/Spybot.gen3; [ General information ]

* File length: 90381 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\cthelper.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "CTHelper"="cthelper.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "CTHelper"="cthelper.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates key "HKLM\Software\Microsoft\OLE".
* Sets value "CTHelper"="cthelper.exe" in key "HKLM\Software\Microsoft\OLE".
* Sets value "CTHelper"="cthelper.exe" in key "HKLM\System\CurrentControlSet\Control\Lsa".
* Creates value "CTHelper"="cthelper.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates key "HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Sets value "CTHelper"="cthelper.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates key "HKCU\Software\Microsoft\OLE".
* Sets value "CTHelper"="cthelper.exe" in key "HKCU\Software\Microsoft\OLE".
* Creates key "HKCU\Software\SYSTEM\CurrentControlSet\Control\Lsa".
* Sets value "CTHelper"="cthelper.exe" in key "HKCU\Software\SYSTEM\CurrentControlSet\Control\Lsa".
* Deletes value "SystemTray" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Process/window information ]
* Creates a mutex RELAUNCH3.
* Will automatically restart after boot (I'll be back...). (23.35 seconds taken)

Statistics
Last piece of malware found was Dropped:Trojan.PWS.Ldpinch.AK in 268636.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.39 seconds
Avast X 1.53 seconds
AVG Antivirus X 0.64 seconds
BitDefender Dropped:Trojan.PWS.Ldpinch.AK 0.53 seconds
ClamAV X 0.61 seconds
Dr.Web X 0.90 seconds
F-Prot Antivirus X 0.11 seconds
Fortinet X 0.43 seconds
Kaspersky Anti-Virus X 1.01 seconds
mks_vir Win32 0.22 seconds
NOD32 X 0.50 seconds
Norman Virus Control X 0.81 seconds



Service statistics:

6510 files (4802 of those unique) have been uploaded & scanned since 06/03/2005, the day of the last database purge.
1383 of those 4802 files contained a virus or any other form of malware.
This page has been visited 10443 times in this time period.
This service managed to spot 105 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 793 suspicious files without any help from scanner results.
However, 23 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 99.52% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.

No I am not sitting still! A new, better version of this service is being developed.
If you have suggestions and/or comments, please send me them!
Most popular malware:

Rank Malware name Uploaded Last known filename
1 trojan.spy.agent.y 60 times jump 0.31.exe
2 w32/mewpacked.gen 52 times thetaker.zip
3 tr/madtol.a.10 26 times _Aimbot_Everybodydan_(1,1).zip
4 im-worm.win32.kelvir.a 24 times cute.txt
5 trojan.agent.ap 24 times Mike's Aimbot.rar
6 win32:trojan-gen. {other} 23 times rstrainer.exe
7 worm/procil.a.1 23 times [Please Read Manual] Kal-Onlin
8 behaveslike:win32.irc-backdoor 22 times pwn.exe
9 trojan.agent-33 20 times Gunbound.exe
10 worm/bagle.be 18 times virus.rar
11 tr/agent.bd 18 times Dragonbot.zip
12 trojan.dragonbot 17 times Copy of DualBand's Aimbot v1.1
13 trojan.arun 17 times arun.exe
14 worm/sober.l 15 times MailTexte.zip
15 worm/rbot.104648 14 times winmes.exe

Gut, dass Du geprüft hast. Du wirst leider das System neu aufsetzen müssen. Beachte dabei die Anleitung in Cidres Signatur.

Gruß
Yopie