Hallo an alle!

Ich habe mal eine Frage an euch. Ich habe heute einen Logfile gemacht und soweit ist alles in Ordnung. Der einzigste Eintrag wo ein Problem aufgetaucht ist ist dieser:

O2 - BHO: (no name) - {B66A2D33-3722-47F2-A56E-4D6448D7F10D} - C:\WINDOWS\system32\mqg4dmod.dll
Unbekannt
Einige Programme sind hier schlecht. Das eingegebene Programm ([B66A2D33-3722-47F2-A56E-4D6448D7F10D] - Treffer: ) wurde überprüft. Trefferquote: 0,00%
Es liegt noch keine Besucherbewertung vor!
Nicht bekanntes Programm.

Kann mir vielleicht einer sagen was das sein könnte? Ich hoffe nichts böses

Danke und Liebe Grüße

xela

Hallo,
sieht bösartig aus, überprüfe mal die Datei C:\WINDOWS\system32\mqg4dmod.dll hier und poste das Ergebnis.
Poste außerdem das komplette HijackThis Log.


Grüße wildone

Danke für den Tip, jetzt kommt aber schon das nächste Problem. Ich bin der Englischen Sprache nicht wirklich mächtig. Zumindest nicht so auf Computer etc. bezogen. Bitte nicht auslachen, aber es wäre nett wenn du mir sagen könntest, wo genau ich was machen muss.

Danke und sorry.

Hier ein Logfile von heute:

Logfile of HijackThis v1.99.1
Scan saved at 18:11:59, on 10.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\progra~1\scansoft\paperp~1\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Ich\Eigene Dateien\Unzipped\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.iphpbb.com/board/fs-81104762nx18147.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=:
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {B66A2D33-3722-47F2-A56E-4D6448D7F10D} - C:\WINDOWS\system32\mqg4dmod.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [BMUpdate] C:\WINDOWS\System32\BMUpdate.exe
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe

Zitat:

Ich bin der Englischen Sprache nicht wirklich mächtig. Zumindest nicht so auf Computer etc. bezogen. Bitte nicht auslachen, aber es wäre nett wenn du mir sagen könntest, wo genau ich was machen muss.

Hallo,

auf den Link von Wildone klicken, im neuen Fenster den Button "Durchsuchen" klicken.
Diese Datei suchen: -->C:\WINDOWS\system32\mqg4dmod.dll
dann den Button "Öffnen" (das Fenster schliesst sich!), dann den Button "SEND", und abwarten bis die Auswertung der Datei fertig ist! (das Fenster geöffnet lassen!)
Dann folgende Tastenkombinationen nacheinander ausführen:
Strg+A (Bildschirm wird blau!)
Strg+C (jetzt hat er alles kopiert!)

und jetzt die Seite vom "Trojaner-Board" öffnen, bzw. einen Beitrag hier schreiben und die Tastenkombination "Strg+V" benutzen! Dann sollte der gesamte Inhalt erscheinen!

Gruß
Daniel

Danke Sunny für die wirklich idiotensichere Beschreibung. So hab ich es auch verstanden.

Hier die Auswertung und ich glaube das sieht gar nicht gut aus


VirusTotal
VirusTotal is a free file analisys service that works using several antivirus engines.


Select file :

Distribute
SSL


Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.
Menu:

* News Hot news in the virus/antivirus sector.
* Estadisticas Statistics of VirusTotal procesing.
* Virustotal More info about Virustotal.

STATUS: FINISHED
Complete scanning result of "mqg4dmod.dll", received in VirusTotal at 06.11.2006, 12:08:20 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.10 06.10.2006 ADSPY/Stud.A.1
Authentium 4.93.8 06.09.2006 no virus found
Avast 4.7.844.0 06.09.2006 Win32:Trojano-3384
AVG 386 06.09.2006 Adware Generic.LRH
BitDefender 7.2 06.11.2006 Trojan.Downloader.Agent.RG
CAT-QuickHeal 8.00 06.10.2006 no virus found
ClamAV devel-20060426 06.09.2006 no virus found
DrWeb 4.33 06.10.2006 Trojan.DownLoader.6588
eTrust-InoculateIT 23.72.33 06.10.2006 no virus found
eTrust-Vet 12.6.2250 06.09.2006 no virus found
Ewido 3.5 06.10.2006 Downloader.Small.cgu
Fortinet 2.77.0.0 06.11.2006 W32/Small.CGU!tr
F-Prot 3.16f 06.09.2006 no virus found
Ikarus 0.2.65.0 06.09.2006 AdWare.Stud.A
Kaspersky 4.0.2.24 06.11.2006 not-a-virus:AdWare.Win32.Stud.a
McAfee 4781 06.09.2006 potentially unwanted program Adware-KeenValue
Microsoft 1.1441 06.11.2006 no virus found
NOD32v2 1.1592 06.11.2006 Win32/Adware.BHO.AA
Norman 5.90.21 06.09.2006 W32/Stud.B
Panda 9.0.0.4 06.10.2006 Adware/KeenValue
Sophos 4.06.0 06.10.2006 no virus found
Symantec 8.0 06.11.2006 no virus found
TheHacker 5.9.8.157 06.10.2006 Adware/Stud.a
UNA 1.83 06.09.2006 Adware.Stud
VBA32 3.11.0 06.11.2006 suspected of Trojan-Downloader.Agent.49

Aditional Information
File size: 14241 bytes
MD5: 6fec2900b0bbc00f91763f23ae6a9f06
SHA1: 8265fe011b7dc6f04f46af07e716a2febecc5d13
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contactar En Español
www.virustotal.com :: ©Hispasec Sistemas 2004-06:: e-mail info@virustotal.com


Ich befürchte das Schlimmste

Hallo "xela",

gehe folgende Punkte Schritt für Schritt durch:

1.) Systemwiederherstllung deaktivieren --> so wirds gemacht

2.) Lade die folgende Tools: --> Killbox und Ad-Aware

3.) Benutze die Killbox, lösche damit folgende Datei, sie befindet sich hier: C:\WINDOWS\system32\mqg4dmod.dll (Haken bei "delete on reboot" Datei suchen, löschen, dann wirst du gefragt: Neustart(Restart)? Mit "yes" antworten.

4.) lass dann "Ad-Aware" über dein System laufen, und poste den Inhalt der Report Datei die am Ende des Scans erstellt wird! (genauso wie du es bei der Auswertung mit Virustotal gemacht hast!)

5.) Poste dann nochmal ein aktuelles Hijacklog (Anleitung nochmal in meiner Signatur zum nachlesen!)

Gruß
Daniel