|
Plagegeister aller Art und deren Bekämpfung: Standardbrowser mit Trojaner infiziert?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.01.2007, 17:37 | #1 |
| Standardbrowser mit Trojaner infiziert? Hallo, habe folgendes Problem neuerdings, auf meinem Benutzerkonto (Administrator) läuft alles Bestens, auf einem 2. eingeschränkten Konto startet allerdings das .exe-File des Standardbrowsers immer mit, und verursacht hohe CPU-Auslastung, habe bereits versucht es im Autostart abzustellen, startet man den Browser allerdings, steht das File wieder im Autostart... Habe auch bereits versucht mit F-Secures Blacklight (Rootkit Tool), etwas zu finden, das findet allerdings nur einen versteckten Prozess des Standardbrowsers, den kann ich dann renamen, und gut ist - Firefox geht dann eben auch nicht mehr. Unter dem eingeschränkten Konto läuft das Tool gar nicht erst.. TCPView findet immer ab&zu eine Verbindung von firefox.exe zu 63.56.233.150 , habe ich in der hosts-Datei geblockt, und seitdem finde ich das nicht mehr, die CPU-Auslastung ist beim eingeschränkten Konto aber immer noch hoch... Habe auch schon probiert die firefox.exe bzw. seitdem ich firefox.exe umbenannt habe, die aolsoftware.exe auf virustotal hochzuladen - ohne Erfolg, VT findet nichts. Diverse Onlinevirenscanner blieben auch erfolglos, aber leider kommt neuinstallieren für mich nicht in Frage... :( Ich hoffe ihr könnt mir nun helfen, Gruß, gTw34k3r PS:Das HijackthisLog: Logfile of HijackThis v1.99.1 Scan saved at 17:35:36, on 19.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe G:\Programme\Eset\nod32kui.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\1XConfig.exe G:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\explorer.exe G:\any\HijackThis.exe G:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\explorer.exe G:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\explorer.exe G:\PROGRA~1\MOZILL~1\FIREFOX.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [nod32kui] "G:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [{BAC8C7FE-764C-80FA-50D9-DE115DE2F674}] C:\WINDOWS\system32\drivers\spooler.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://G:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'w2pxdrv.dll' missing O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168875967556 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - G:\Programme\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe O23 - Service: VMware Agent Service (ufad-p2v) - Unknown owner - G:\Programme\VMware\VMware Workstation\vmware-ufad.exe" -d "G:\Programme\VMware\VMware Workstation\\" -s ufad-p2v.xml (file missing) O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - G:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe |
19.01.2007, 17:51 | #2 |
| Standardbrowser mit Trojaner infiziert? @gTw34k3r
__________________Bitte erstelle HJT-Log im Normal-Modus von Windows. |
19.01.2007, 18:02 | #3 |
| Standardbrowser mit Trojaner infiziert? Das war der Normalmodus
__________________ |
19.01.2007, 18:15 | #4 |
| Standardbrowser mit Trojaner infiziert? Dann hast du kein Windows : es muss ein Paar <%system%>\svchost.exe und <%system%>\services.exe - Prozesse im Log zu sehen sein. |
22.01.2007, 14:19 | #5 |
| Standardbrowser mit Trojaner infiziert? Gibt's außer Windows noch andere OS mit .exe? (React OS? xD) Ist vom eingeschränktem Benutzerkonto ausgemacht, weil beim anderen ja alles klappt... Sry |
Themen zu Standardbrowser mit Trojaner infiziert? |
administrator, adobe, bho, drivers, explorer, firefox, firefox.exe, helfen, hijack, hosts-datei, infiziert, infiziert?, internet, internet explorer, microsoft, monitor, nvidia, pdf, problem, programme, prozess, rootkit, rundll, scan, senden, system, trojaner, virus, windows, windows xp, windows\system32\drivers |