Hallo zusammen,
auf meinem Heim-Board wurde ein Link zu einem SMS-Bomber gepostet, der einen Trojaner beinhalten soll. Ich dumme Nuss hab's natürlich vorher angeklickt. Norton und Adaware haben nichts gefunden. Bei anderen Usern wurden die Scanner allerdings fündig, so dass ich mir jetzt Sorgen mache, ob nicht doch etwas im argen ist bei mir. Darum möchte ich als absoluter HJT-Newbie um Hilfe bitten.
Gruß
chaosmaedel

Logfile of HijackThis v1.99.1
Scan saved at 18:54:59, on 02.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game10.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D5EDE80-FF51-43BC-8ABE-65EE7AAC176B}: NameServer = 213.191.92.82 213.191.74.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D5EDE80-FF51-43BC-8ABE-65EE7AAC176B}: NameServer = 213.191.92.82 213.191.74.11
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Folgende Datei bei Virustotal ( Link in meiner Signatur ) überprüfen.

C:\WINDOWS\System32\Suchspur.dll

dazu einfach oben genannter dateipfad abkopieren, oben rechts auf der Seite in das weiße Feld kopieren, "Send" button betätigen. Auswertung abwarten, sie ist beendet, wenn Status auf "Finished" steht. Hier alles posten, auch den Kopf der Datei.

Mit C:\WINDOWS\System32\Suchspur.dll kam immer, dass er nichts findet zum hochladen.
Bei res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM steht die ganze Zeit "Uploading file.. please wait...
Wenn so etwas länger dauert, dann warte ich gerne. Kommt mir aber ein wenig arg lang vor.

Hm, wenn dann müsste es wohl so heißen:

C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM


Sonst sieht dein Log aber sauber aus. Du kannst nochmal einen E-Scan machen, damit du alle Gefahren ausschließen kannst. Sollte die Uploaderei der datei zu keinem Ergebnis führen, war es wohl mein fehler, als öffne dann einfach deinen Hijackthis, scanne abermals und setze ein Häkchen bei folgendem Eintrag:

O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM



betätige den Button "Fix checked".

Einen E-Scan? Sorry, was ist das?
Mit C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM kam auch 0 bytes received.

Ich bin wohl ein bischen neben der Kappe, Lösche den Eintrag einfach wie von mir erwähnt mit Hijackthis.


Was ein Escan ist und die Durchführung wird dir hier erklärt:

Anleitung

Wenn du auf Nummer sicher gehen willst, würde ich den Report vom E-scan nochmal hier posten.

Achja.

In deinem Log findet sich ein Eintrag zu einem Active-X Steuerelement.

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game10.zylom.com/activex/zylomgamesplayer.cab


Unter der angegebenen Internetadresse habe ich mit das erwähnte heruntergeladen und bei Virustotal hochgeladen. Ein einziger Virenscanner hat angeschlagen - Das ist normalerweise nicht eindeutig. Also, solltest du den Eintrag wissentlich hinzugefügt haben, oder die Quelle kennen, ist alles in ordnung, an sonsten war es kein fehlalarm, sondern etwas Schädliches und sollte gelöscht werden.

Suche dann wie gehabt im HijackThis diesen Eintrag:


O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game10.zylom.com/activex/zylomgamesplayer.cab


Und fixe ihn. ist wahrscheinlich schädlich, solltest du die Quelle nicht kennen, unbedingt fixen.

Hallo,

langsam.....
die Kirche sollte schon noch im Dorf bleiben...

"Zylom" ist eine Spieleseite im Netz.
Ich tippe auf "zuma" das "Bälle gegeneinander schubsen",richtig ?
Das Steuerelement darf bleiben...
Es ist hiermit freigesprochen.....
Irrlicht

Jo, richtig! Ist Zuma.
Das andere habe ich gefixt.