Kann mir jemand sagen ob ich nen Virus hab?
Den Stinger hab ich drüberlaufen lassen, er hat zwar was gefunden und vermeintlich gelöscht. Aber da mir immer noch komische Symptome auffallen geh ich lieber auf Nummer sicher.



Hab ein HJT Log File gemacht:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:57:57, on 09.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\OneStepSearch\onestep.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OneStepSearch\onestep.exe
C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://search.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: SpeedTouch 121g Wireless USB Monitor.lnk = C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: OneStep Search Service - OneStepSearch.net, Inc. - C:\Programme\OneStepSearch\onestep.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 6530 bytes

Halt die Fresse

Jetz hab ich grad bei Tune Up meine aktuell laufenden Programme anzeigen lassen. Was isn da los? (siehe Screenshot)

kann den keiner helfen?
Auch nicht ob das normal ist das soviele Hintergrundprogramme laufen?

Hi und Herzlich Willkommen im Trojaner-Board

Zitat:

Halt die Fresse

lol...wenn du das sagst, postet natürlich keiner

1. Die Prozesse und dein Hijackthislog sind in Ordnung
2. Patche bitte Java und schiebe einen escan ein

* Java-Update

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

das mit Halt die Fresse sollte ja keiner ernst nehmen

Aber danke das du mir geantwortet hast. Sobald ich Zeit habe werd ich das machen.........
Nur glaub ich jetzt schon das ich mit Java ein Problem haben werde.
Mit dem Dreck hats ja angefangen. Wollte mir ein aktuelles Update herunterladen, hat net funktioniert. Dann hab ich irgendwo gelesen das ich die Firewall ausmachen soll und dann nochmal versuchen soll. Und da hats irgendwas reingemurkst.

Aber mal sehen, vielleicht gehts ja doch

Danke nochmal

Wie ich es mir gedacht habe........
Wollte Java updaten, dann kommt folgende Fehlermeldung:

Dieses Installationspaket konnte nicht geöffnet werden. Stellen Sie sicher, dass das Paket existiert und dass Sie darauf zugreifen können. Oder lassen Sie den Hersteller der Anwendung überprüfen, ob es sich um ein gültiges Windows Installer-Paket handelt.

Was soll ich da machen?

dann mach erst mal nur den escan ohne java-Update

So hab den Scan gemacht........

1. hat er mir während des Scannens eine Fehlermeldung gemacht:
Error entdeckt!!! Sie müßen die Vollversion haben um den Error zu entfernen. Klicken sie auf eScan erwerben, um zum Webshop zu gelangen........

2. Glaube ich nicht das er komplett fertiggescannt hat. Auf einmal war das Programm weg. Hab trotzdem die find.bat angeklickt und hat was gefunden:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.6
Sprache: German
C:\DOKUME~1\Daniel\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\hldrrr.exe infiziert von "Trojan-Downloader.Win32.Bagle.cq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\trusted.exe infiziert von "Trojan-Downloader.Win32.Bagle.cq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 9:56:51,89
Batchende: 9:56:55,04



Andere Frage: Brauch ich eigentlich Kaspersky Security UND Anti Virus? Oder kann ich eins von beiden nehmen?

Morgen,

Zitat:

hldrrr.exe
trusted.exe

Die beiden Dateien reichen schon: Du hast eine
Bagle-Variante sitzen -> Troj/BagleDL-CW

Somit kann eine komplette Bereinigung nicht gewährleistet werden.
Folge bitte dem Link:
* System neu aufsetzen mit anschließender Absicherung

Zitat:

Andere Frage: Brauch ich eigentlich Kaspersky Security UND Anti Virus? Oder kann ich eins von beiden nehmen?

Ein AV-Tool von beiden ist sogar effizienter als
beide zusammen, sie bremsen sich bloß gegensdeitig aus.

mfg Cleriker

Oh nö, das wollte ich verhindern das ich neu aufsetzen muss..........
Aber wie stehts mit Datensicherung? Kann ich mir meine Videos vom Camcorder, MP3s, Fotos und gewisse Programmsetups absichern? Oder sind die auch alle verseucht?

Schöne Scheiße.........

Jetzt hab ich erst gelesen was das eigentlich ist.
Der kann meine Passwörter senden? Muss ich jetzt Angst haben? zwecks Homebanking und so?

Hi,

Du kannst alle nicht ausführbaren Dateien als
Datensicherung benutzen (keine .exe / .dll ...)

Hatte ich vergessen zu sagen, ändere anschließend
bitte deine Logindaten im Online-/Offlinebereich. Du
kannst deine Passwörter, die du seit dem letzten
NeuAufsetzen benutzt hast, als ausspioniert ansehen.

mfg Cleriker

Also kann ich Videos, Fotos, MP3s sichern.....
aber keine Setup Dateien? Z.b. hab ich Service Pack 2 gespeichert.
Das könnte ich nachn aufsetzen gleich rauftun.

Hab auch ein wenig umhergefragt und ein paar meinten es könnte sein dass der Trojaner das neu aufsetzen überlebt. Stimmt das?

nicht, wenn du es nach der Anleitung
hier im Forum durchführst.
Falls danach trotzdem wieder auftaucht,
ist er in einem deiner Softwarepacks dabei.
-> also das erste was geht AV-Tool und
alles scannen

mfg Cleriker

Danke für die Antworten.

Wie siehts mit Programmdateien aus? Freehand usw. kann ich schon auf CD sichern oder?
Ich hab sowieso gelesen wenn ich auf eine CD sicher kann ich alles rauftun, weil die nicht kompromottiert werden kann. Ist da was dran?

Werde ihn wenn ich Zeit habe neu aufsetzen.
AV-Tool? Meinst das HijackThis und e-scan?

Werde ich dann sowieso machen und wieder hier reinposten.
Und bitte darum dass du dann wieder auswertest.

Sorry für die vielen Fragen aber ich bin eher ein Neuling in dem Gebiet und will auf Nummer sicher gehn

Das beste ist du sicherst nur deine Videos, usw... aber keine ausführbaren Sachen!

Diese kannst du dir vielleicht bei Freunden oder Bekannten runterladen und brennen.