|
Log-Analyse und Auswertung: ct helperWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.03.2005, 20:31 | #1 |
| ct helper Hallo Habe heute mal wieder meinen rechner mit HijackThis gescannt und einige cthelper einträge gefunden siehe hier: Logfile of HijackThis v1.99.1 Scan saved at 20:16:41, on 09.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\cthelper.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\Dani\Internet\HijackThis.exe C:\WINDOWS\regedit.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dear-sister.de.vu/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.veroweb.com/ads/track.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CTHelper] cthelper.exe O4 - HKLM\..\RunServices: [CTHelper] cthelper.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [CTHelper] cthelper.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunServices: [CTHelper] cthelper.exe O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/16c29b7e...dxIE601_de.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4EE1257E-0A54-4B3B-9793-5AB2A18374D6}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{ED0B98C9-1AF0-4180-AA9C-6A13FF93B19D}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Nun wollte ich fragen, was dieses cthelper eigentlich ist und wenn es "böse" ist, wie ich es dann von meinem pc bekommen. Außerdem wäre eine insgesamte Auswertung auch nicht schlecht Danke schonmal im vorraus glg, Dani |
09.03.2005, 21:15 | #2 | |
Administrator, a.D. | ct helper Hallo,
__________________Zitat:
Ansonsten ist dein Log-File sauber, dennoch solltest du mindestens Punkt 5 und 6 vom Link in meiner Signatur abarbeiten und die Links unter 'Lesenswerte Lektüre für die Zukunft' lesen.
__________________ |
10.03.2005, 20:31 | #3 |
| ct helper Ganz sicher unbedenklich??? Also muss ich den nicht löschen??? Wüsste eigentlich auch nicht wie ^.^ weil auf manchen seiten steht das es malware is..... und auf dem link von dir steht, dass cthelper ein programm von creative ist, ich habe aber nichts von creative auf meinem pc.
__________________Achja, mein ad-aware hat ihn auch nciht gefunden.... lg, Dani |
10.03.2005, 20:51 | #4 | ||
Administrator, a.D. | ct helperZitat:
Zitat:
|
11.03.2005, 19:48 | #5 |
| ct helper ich weiß etz nicht genau, was das bedeuten soll. Hab die datei hochgeladen, hier das ergebnis: Service load: 0% 100% File: cthelper.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: None AntiVir No viruses found (0.92 seconds taken) Avast Win32:SpyBot-A334 (1.52 seconds taken) AVG Antivirus IRC/BackDoor.SdBot.151.BO (0.55 seconds taken) BitDefender Backdoor.SDBot.RX (0.51 seconds taken) ClamAV Trojan.SdBot-453 (0.61 seconds taken) Dr.Web Win32.HLLW.MyBot (0.90 seconds taken) F-Prot Antivirus No viruses found (0.26 seconds taken) Fortinet No viruses found (0.42 seconds taken) Kaspersky Anti-Virus Backdoor.Win32.Rbot.kz (0.99 seconds taken) mks_vir No viruses found (0.23 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (0.63 seconds taken) Norman Virus Control Sandbox: W32/Spybot.gen3; [ General information ] * File length: 90381 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\cthelper.exe. * Deletes file 1. [ Changes to registry ] * Creates value "CTHelper"="cthelper.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". * Creates value "CTHelper"="cthelper.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices". * Creates key "HKLM\Software\Microsoft\OLE". * Sets value "CTHelper"="cthelper.exe" in key "HKLM\Software\Microsoft\OLE". * Sets value "CTHelper"="cthelper.exe" in key "HKLM\System\CurrentControlSet\Control\Lsa". * Creates value "CTHelper"="cthelper.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". * Creates key "HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices". * Sets value "CTHelper"="cthelper.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices". * Creates key "HKCU\Software\Microsoft\OLE". * Sets value "CTHelper"="cthelper.exe" in key "HKCU\Software\Microsoft\OLE". * Creates key "HKCU\Software\SYSTEM\CurrentControlSet\Control\Lsa". * Sets value "CTHelper"="cthelper.exe" in key "HKCU\Software\SYSTEM\CurrentControlSet\Control\Lsa". * Deletes value "SystemTray" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". [ Process/window information ] * Creates a mutex RELAUNCH3. * Will automatically restart after boot (I'll be back...). (23.35 seconds taken) Statistics Last piece of malware found was Dropped:Trojan.PWS.Ldpinch.AK in 268636.exe, detected by: Scanner Malware name Time taken AntiVir X 0.39 seconds Avast X 1.53 seconds AVG Antivirus X 0.64 seconds BitDefender Dropped:Trojan.PWS.Ldpinch.AK 0.53 seconds ClamAV X 0.61 seconds Dr.Web X 0.90 seconds F-Prot Antivirus X 0.11 seconds Fortinet X 0.43 seconds Kaspersky Anti-Virus X 1.01 seconds mks_vir Win32 0.22 seconds NOD32 X 0.50 seconds Norman Virus Control X 0.81 seconds Service statistics: 6510 files (4802 of those unique) have been uploaded & scanned since 06/03/2005, the day of the last database purge. 1383 of those 4802 files contained a virus or any other form of malware. This page has been visited 10443 times in this time period. This service managed to spot 105 pieces of malware no vendor used knew about at the time of uploading. The service also warned against 793 suspicious files without any help from scanner results. However, 23 files reported to be OK were found out to be malware later (this is checked daily). As far as can be told, all this together makes this service 99.52% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism. No I am not sitting still! A new, better version of this service is being developed. If you have suggestions and/or comments, please send me them! Most popular malware: Rank Malware name Uploaded Last known filename 1 trojan.spy.agent.y 60 times jump 0.31.exe 2 w32/mewpacked.gen 52 times thetaker.zip 3 tr/madtol.a.10 26 times _Aimbot_Everybodydan_(1,1).zip 4 im-worm.win32.kelvir.a 24 times cute.txt 5 trojan.agent.ap 24 times Mike's Aimbot.rar 6 win32:trojan-gen. {other} 23 times rstrainer.exe 7 worm/procil.a.1 23 times [Please Read Manual] Kal-Onlin 8 behaveslike:win32.irc-backdoor 22 times pwn.exe 9 trojan.agent-33 20 times Gunbound.exe 10 worm/bagle.be 18 times virus.rar 11 tr/agent.bd 18 times Dragonbot.zip 12 trojan.dragonbot 17 times Copy of DualBand's Aimbot v1.1 13 trojan.arun 17 times arun.exe 14 worm/sober.l 15 times MailTexte.zip 15 worm/rbot.104648 14 times winmes.exe |
11.03.2005, 19:53 | #6 |
Moderator, a.D. | ct helper Gut, dass Du geprüft hast. Du wirst leider das System neu aufsetzen müssen. Beachte dabei die Anleitung in Cidres Signatur. Gruß Yopie |
Themen zu ct helper |
.html, .inf, adobe, antivir, antivir update, auswertung, avg, bho, browser, dateien, einstellungen, excel, explorer, frage, helper, hijack, hijackthis, icq, internet, internet explorer, messenger, microsoft, msn, programme, software, system, t-online, träge, windows, windows messenger, windows xp |