Habe ich einen Trojaner??

Pflaume91 · 18.08.2007, 12:41

Hallo zusammen,
Ich habe das problem, dass mein desktop hintergrund zum link Bild wird und mein Pc die ganze Zeit mit dem IE7 ins internet gehen will. Außerdem bekomme ich folgende meldung die ganze Zeit :

und das is der hässliche link hinter grund

auserdem habe ich ein logfile erstellt und wollte fragen ob mir jemand sagen kann, ob der sauber ist:

Logfile of HijackThis v1.99.1
Scan saved at 13:21:20, on 18.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\myname\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSVPS System - {283A0EE3-2CC1-45AB-8207-B1D7B69C7F83} - C:\WINDOWS\duocore.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: wmpenv - {25EC9FCD-8AC7-4CC7-912E-DCB8B954FC02} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {2926C0FB-692A-44F2-9914-41A2CB5D04D8} - C:\WINDOWS\wmpconf.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

Danke für eure hilfe

Pflaume

Mobius07 · 18.08.2007, 13:28

Dies "angepriesene" Prog. natürlich nicht laden, da es sich hierbei um ein Rogue/Fake Spyware-Programme handelt. Könnte zudem eine Variante von Zlob sein. Daher erst einmal nichts löschen.

Versteckte Dateien sichtbar machen:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Folgende Dateien bei Virustotal bzw. Jotti überprüfen lassen:
VirusTotal - Free Online Virus and Malware Scan
Online malware scan
Datei ins weisse Fensterchen kopieren, "send/submit" button anklicken, komplettes Ergebnis mit MD5 und SHA1 inkl. Dateigröße und Namen hier posten:
C:\WINDOWS\duocore.dll
C:\WINDOWS\wmpenv.dll
C:\WINDOWS\wmpconf.dll

Pflaume91 · 18.08.2007, 13:49

Erstmal SRY wegen der großen bildern

Datei:wmpenv.dll

Die Links dazu:
VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.18.0 2007.08.18 -
AntiVir 7.4.1.62 2007.08.17 -
Authentium 4.93.8 2007.08.17 -
Avast 4.7.1029.0 2007.08.17 -
AVG 7.5.0.484 2007.08.17 -
BitDefender 7.2 2007.08.18 -
CAT-QuickHeal 9.00 2007.08.18 -
ClamAV 0.91 2007.08.18 -
DrWeb 4.33 2007.08.18 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5069 2007.08.18 -
Ewido 4.0 2007.08.18 -
FileAdvisor 1 2007.08.18 -
Fortinet 2.91.0.0 2007.08.18 Adware/AdClicker
F-Prot 4.3.2.48 2007.08.17 -
F-Secure 6.70.13030.0 2007.08.17 -
Ikarus T3.1.1.12 2007.08.18 Trojan-Downloader.Win32.Agent.bjc
Kaspersky 4.0.2.24 2007.08.18 -
McAfee 5100 2007.08.17 AdClicker-FC
Microsoft 1.2803 2007.08.18 Trojan:Win32/Agent.gen!L
NOD32v2 2469 2007.08.18 -
Norman 5.80.02 2007.08.17 -
Panda 9.0.0.4 2007.08.17 Suspicious file
Prevx1 V2 2007.08.18 Trojan.SystemPoser
Rising 19.36.52.00 2007.08.18 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.18 -
Symantec 10 2007.08.18 -
TheHacker 6.1.8.170 2007.08.17 -
VBA32 3.12.2.2 2007.08.17 -
VirusBuster 4.3.26:9 2007.08.17 -
Webwasher-Gateway 6.0.1 2007.08.18 -
weitere Informationen
File size: 176128 bytes
MD5: 481e9357687d623d4d146ee80d27f621
SHA1: 985a94020ce59078aaf6eb9235e0b72b1f0c1d07
Prevx info: WMPENV.DLL - Prevx

Datei: wmpconf.dll :
Der Link hierzu:

VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.18.0 2007.08.18 -
AntiVir 7.4.1.62 2007.08.17 -
Authentium 4.93.8 2007.08.17 -
Avast 4.7.1029.0 2007.08.17 -
AVG 7.5.0.484 2007.08.17 -
BitDefender 7.2 2007.08.18 -
CAT-QuickHeal 9.00 2007.08.18 -
ClamAV 0.91 2007.08.18 -
DrWeb 4.33 2007.08.18 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5069 2007.08.18 -
Ewido 4.0 2007.08.18 -
FileAdvisor 1 2007.08.18 -
Fortinet 2.91.0.0 2007.08.18 -
F-Prot 4.3.2.48 2007.08.17 -
F-Secure 6.70.13030.0 2007.08.17 -
Ikarus T3.1.1.12 2007.08.18 -
Kaspersky 4.0.2.24 2007.08.18 -
McAfee 5100 2007.08.17 potentially unwanted program Ultimate
Microsoft 1.2803 2007.08.18 -
NOD32v2 2469 2007.08.18 -
Norman 5.80.02 2007.08.17 -
Panda 9.0.0.4 2007.08.17 -
Prevx1 V2 2007.08.18 -
Rising 19.36.52.00 2007.08.18 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.18 -
Symantec 10 2007.08.18 -
TheHacker 6.1.8.170 2007.08.17 -
VBA32 3.12.2.2 2007.08.17 -
VirusBuster 4.3.26:9 2007.08.17 -
Webwasher-Gateway 6.0.1 2007.08.18 -
weitere Informationen
File size: 221184 bytes
MD5: 67633e5e305d227cb9d9266b3e5425cd
SHA1: 3c35d85ce626987bfa35ddb09f6b8e8b85e20498

Datei: duocore.dll :
Und der letzte link:

VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.18.0 2007.08.18 -
AntiVir 7.4.1.62 2007.08.17 -
Authentium 4.93.8 2007.08.17 -
Avast 4.7.1029.0 2007.08.17 -
AVG 7.5.0.484 2007.08.17 -
BitDefender 7.2 2007.08.18 -
CAT-QuickHeal 9.00 2007.08.18 -
ClamAV 0.91 2007.08.18 -
DrWeb 4.33 2007.08.18 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5069 2007.08.18 -
Ewido 4.0 2007.08.18 -
FileAdvisor 1 2007.08.18 -
Fortinet 2.91.0.0 2007.08.18 Adware/AdClicker
F-Prot 4.3.2.48 2007.08.17 -
F-Secure 6.70.13030.0 2007.08.17 -
Ikarus T3.1.1.12 2007.08.18 -
Kaspersky 4.0.2.24 2007.08.18 -
McAfee 5100 2007.08.17 -
Microsoft 1.2803 2007.08.18 -
NOD32v2 2469 2007.08.18 -
Norman 5.80.02 2007.08.17 -
Panda 9.0.0.4 2007.08.17 -
Prevx1 V2 2007.08.18 -
Rising 19.36.52.00 2007.08.18 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.18 -
Symantec 10 2007.08.18 -
TheHacker 6.1.8.170 2007.08.17 -
VBA32 3.12.2.2 2007.08.17 -
VirusBuster 4.3.26:9 2007.08.17 -
Webwasher-Gateway 6.0.1 2007.08.18 -
weitere Informationen
File size: 221184 bytes
MD5: dc59f6885272d19c4cb1fc4c7db978a2
SHA1: bcea2d9d58e6cbab671bd377aba8f9f05f2e0c2c

danke für die schnelle antwort
Pflaume

PS ich weiß net ob die links funktionieren!

nochdigger · 18.08.2007, 17:04

Hallo

(hübsches Hintergrundbild

)
lade dir Smidfraudfix
halte dich bitte genau an die verlinkte Anleitung und poste den rapport1.txt
von vor und den rapport2.txt nach der Bereinigung sowie ein neues HijackThis Log,
benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe.

MFG

Habe ich einen Trojaner??

Log-Analyse und Auswertung: Habe ich einen Trojaner??