Lasst mich ruhig schlafen bitte :/


Logfile of HijackThis v1.99.1
Scan saved at 23:32:17, on 18.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_11\bin\jucheck.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

Gibts einen Verdacht? Auch wenn Logfiles (v.a. von Hijackthis) sauber aussehen, ist das kein Beweis für die Sauberkeit des Systems.
Du solltest auf jeden Fall schon mal Java und den IE updaten.

Danke für die schnelle Antwort

Ja, gibt einen Verdacht bzw. leider mehr als das. Habe vom AVGuard vorhin eine Meldung bekommen über einen Trojaner den ich dann sofort gelöscht habe.
Achte eigentlich schon auf die Sicherheit, bin kein Experte wie man sieht aber auch kein absoluter Anfänger der auf alles klickt was geht und kein einziges nützliches Programm kennt.

Was soll ich jetzt machen? Spybot hat sonst nichts gefunden, Antivir auch nicht und das gemeldete File habe ich sofort gelöscht.
Auf jeden Fall System neu aufsetzen oder ist das in dem Fall nicht zwingend?

Eben hatte ich hier im Forum noch eine ziemlich umfangreiche Anleitung zum Aufsetzen eines sicheren (Windows)Systems inklusive vieler Links etc. - bin irgendwie zu blöd das nochmal zu finden, hat da jemand vielleicht den passenden Threadlink parat?

Zitat:

Habe vom AVGuard vorhin eine Meldung bekommen über einen Trojaner den ich dann sofort gelöscht habe.

Na, dann poste die dochmal Schau ggf. im Scanreport nach.

Zitat:

Eben hatte ich hier im Forum noch eine ziemlich umfangreiche Anleitung zum Aufsetzen eines sicheren (Windows)Systems inklusive vieler Links etc. - bin irgendwie zu blöd das nochmal zu finden, hat da jemand vielleicht den passenden Threadlink parat?

Findest den Link in meiner Signatur. Aber bitte nichts überstürzen. Noch gibt es keinen Grund zur Panik und auch keinen Grund sofort neu aufzusetzen, auch wenn ein sauberes HJT-Logfile kein sauberes System bedeuten muss.
Sofern die Meldung überhaupt durch einen Schädling kam und nicht durch einen False-Positive, muss geklärt werden ob der überhaupt ausgeführt wurde. Und falls ja: in einem Admin- oder Benutzerkonto.

In der Datei 'C:\WINDOWS\Downloaded Program Files\HGStart9USA.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dloader.BAK' [TR/Dloader.BAK] gefunden.

Überstürzen werde ich nichts da ich dann erstmal geschätzte 5 Stunden meine Windows CD + Key suchen müsste =(

Zitat:

Virus oder unerwünschtes Programm 'TR/Dloader.BAK' [TR/Dloader.BAK] gefunden

Okay - das ist schonmal ein Anhaltspunkt. Hast du da noch ne Idee beim Besuch welcher Seite die Meldung aufpoppte? Nochmal als Nachfrage: Arbeitest du generell mit eingeschränkten Rechten?
Der Name des potentiellen Schädlings sieht recht allgemein aus. Werte doch auch mal bitte die Datei

C:\WINDOWS\Downloaded Program Files\HGStart9USA.exe

daher bei Jotti oder Virustotal aus und poste sämtliche Ergebnisse.

Ich habe die Datei ja dummerweise direkt gelöscht. Was ich zu dem Zeitpunkt gemacht habe weiß ich leider nicht mehr wirklich.
Habe eben das hier gefunden: AntiVir PersonalEdition Support Forum | AntiVir PersonalEdition Classic | Avira Potential False Positive
Bin ich damit aus dem Schneider?

Sieht ganz so aus. Es gibt kein Anzeichen einer Infektion, lt. dem AntiVir-Forum läuft alles auf einen FP zu. Du spielst nicht zufällig hier irgendwelche Live-Spiele?

Nochmal als Nachfrage, auch wenn es hier wohl ein FP war: Admin- oder eingeschränkte Rechte? Mit Firefox oder anderem Alternativbrowser oder mit dem IE? Den IE bitte updaten auf Version 7. Java wie gesagt verträgt auch ein Update. Besorg dir die neue Version hier unter Java Runtime Environment (JRE) 6u1 - deinstalliere komplett alle Java-Vorgängerversionen.

Also spontan kann ich mich nicht daran erinnern, der Name gunbound kommt mir aber irgendwie bekannt vor und ab und an mache ich schon ein paar Browser Spiele. edit: Ok, war gerade auf der Seite, da war ich vor einiger Zeit definitiv mal drauf.
Du meinst mein Benutzerkonto für Windows? Müsste Admin sein.
Brower ist Firefox. Wie deinstalliere ich Java? Ganz normal über die Software Option? Falls ja, hätte ich dort 3 Einträge: J2SE Runtime Environment 5.0 Update 6, 9 und 11. Diese drei entfernen und/oder sonst noch etwas?


Danke für die Hilfe!

Zitat:

Du meinst mein Benutzerkonto für Windows? Müsste Admin sein.

Fürs Surfen wäre ein Benuterkonto mit eingeschränkten Rechten wesentlich sicherer.

Zitat:

Wie deinstalliere ich Java? Ganz normal über die Software Option? Falls ja, hätte ich dort 3 Einträge: J2SE Runtime Environment 5.0 Update 6, 9 und 11. Diese drei entfernen und/oder sonst noch etwas?

Jo, entferne alle. Besorg dir vorher das neue Java-Paket (Java Runtime Environment) in Version 6 Update 1 und installier es.