habe IE probleme mit Trojaner oder Viren??? HILFE

ralph777 · 21.06.2008, 11:50

Hallo zusammen,
ich hoffe ich habe alles richtig gemacht und möchte euch das logfile posten.
(wenn ich falsch bin - bitte nicht steinigen - bin ein absoluter neuling hier)
auf unserem aldi 2006 rechner läuft xp und vermutlich wurde über eine kinderspieleseite ein trojaner eingefanegn (oder auch mehrere)
ich habe gestern antivir-pe und danach adaware-2008 laufen lassen und nach rd. 5 stunden waren 180 viren gefunden (und hoffentlich gelöscht) aber es kommen immer noch meldungen von antivir, die ich immer mit file löschen bestätige.
der IE geht wieder, aber er lässt trotz einstellung nur BLANK:BLANK und nicht wie gewünscht Google als startseite zu. erst nach klick auf das "startseiten" symbol (oben rechts kommt dann google.
Vielleicht könnt ihr mir ja helfen.
ich sag schon mal ganz herzlichen dank und
byebye
Ralph

LOG-FILE von HIJACK.THIS:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

-SilverDragon- · 21.06.2008, 13:25

Hallo und

Poste bitte ein neues HijackThis Logfile, und editiere, wie es in dem Edit von GUA steht, Aktive Links und persönliche Informationen im Logfile!

ralph777 · 21.06.2008, 18:28

OK - SORRY hier nochmal das Logfile - ich hoffe ich habe alles rausgelöscht.
byebye
Ralph

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:24:16, on 21.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MVY05AYV\HiJackThis[1].exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Programme\Live_TV\tbLive.dll
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: C:\WINDOWS\system32\jfiehayd.dll - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll (file missing)
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Programme\Live_TV\tbLive.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [PCMService] REM "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NSLauncher] REM C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eBayToolbar] REM C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [ALDI Foto Service] REM "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] REM "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [PcSync] REM C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Picasa Media Detector] REM C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [updateMgr] REM "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\*******\LOKALE~1\Temp\winlogan.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\*******\LOKALE~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [WintelUpdate] REM C:\d.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Willkommen beim ALDI Foto Service - {75EF8084-954D-468e-BC49-6F6FBC6C9071} - h**p://www.aldifotos.de/index.php (file missing) (HKCU)
O9 - Extra button: ALDI TALK mit MEDION mobile - {82460E6C-F4F8-468a-8B44-F00DD4D7F712} - h**p://www.medionmobile.com/ (file missing) (HKCU)
O9 - Extra button: Willkommen bei ALDI - {9EA53838-846B-4e59-892B-D87DEC919852} - h**p://www.aldi.com/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2bc66f54-93a8-11d3-beb6-00105aa9b6ae} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191521102109
O16 - DPF: {644e432f-49d3-41a1-8dd5-e099162eeec5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191521080281
O16 - DPF: {7527E129-A524-434A-A337-8C19F6F25C91} (AldiSuedActiveFormX Element) - h**ps://shop.aldisued-fotos-druck.de/shop/activex/aldi_sued_express_upload.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game07.zylom.com/activex/zylomgamesplayer.cab
O20 - Winlogon Notify: winctrl32 - WinCtrl32.dll (file missing)
O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows Audio AudioSrvNtLmSsp (audiosrvntlmssp) - Unknown owner - C:\WINDOWS\system32\adsldpp.exe (file missing)
O23 - Service: Windows Audio AudioSrvNtLmSsp audiosrvntlmsspaudiosrvntlmssp (audiosrvntlmsspaudiosrvntlmssp) - Unknown owner - C:\WINDOWS\system32\accessfm.exe (file missing)
O23 - Service: Ablagemappe ClipSrvHidServ (clipsrvhidserv) - Unknown owner - C:\WINDOWS\system32\1031c.exe (file missing)
O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 clr_optimization_v2.0.50727_32ERSvc (clr_optimization_v2.0.50727_32ersvc) - Unknown owner - C:\WINDOWS\system32\$winnt$j.exe (file missing)
O23 - Service: DCOM-Server-Prozessstart DcomLaunchaudiosrvntlmssp (dcomlaunchaudiosrvntlmssp) - Unknown owner - C:\WINDOWS\system32\1041zw.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hilfe und Support helpsvcaudiosrvntlmsspaudiosrvntlmssp (helpsvcaudiosrvntlmsspaudiosrvntlmssp) - Unknown owner - C:\WINDOWS\system32\acctresg.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Arbeitsstationsdienst lanmanworkstationSwPrv (lanmanworkstationswprv) - Unknown owner - C:\WINDOWS\system32\accessf.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service LightScribeServicehelpsvc (lightscribeservicehelpsvc) - Unknown owner - C:\WINDOWS\system32\3076b.exe (file missing)
O23 - Service: NetMeeting-Remotedesktop-Freigabe mnmsrvcAlerter (mnmsrvcalerter) - Unknown owner - C:\WINDOWS\system32\2052y.exe (file missing)
O23 - Service: Windows Installer MSIServerNtLmSsp (msiserverntlmssp) - Unknown owner - C:\WINDOWS\system32\34CoInstalleroc.exe (file missing)
O23 - Service: Netzwerk-DDE-Serverdienst NetDDEdsdmNtmsSvc (netddedsdmntmssvc) - Unknown owner - C:\WINDOWS\system32\1041z.exe (file missing)
O23 - Service: PDEngine (pdengine) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (pdsched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: IPSEC-Dienste PolicyAgentCiSvc (policyagentcisvc) - Unknown owner - C:\WINDOWS\system32\12520437rm.exe (file missing)
O23 - Service: Verwaltung für automatische RAS-Verbindung RasAutolanmanworkstationswprv (rasautolanmanworkstationswprv) - Unknown owner - C:\WINDOWS\system32\accessfmw.exe (file missing)
O23 - Service: RAS-Verbindungsverwaltung RasManServiceLayer (rasmanservicelayer) - Unknown owner - C:\WINDOWS\system32\1033o.exe (file missing)
O23 - Service: RDFLabel - Unknown owner - C:\Programme\ICRAplus\RDFLabel\RDFLabel.exe
O23 - Service: Routing und RAS RemoteAccessERSvc (remoteaccessersvc) - Unknown owner - C:\WINDOWS\system32\1j.exe (file missing)
O23 - Service: Routing und RAS RemoteAccesswmiapsrvlanmanserver (remoteaccesswmiapsrvlanmanserver) - Unknown owner - C:\WINDOWS\system32\1054ef.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RPC-Locator RpcLocatorHTTPFilter (rpclocatorhttpfilter) - Unknown owner - C:\WINDOWS\system32\3076bf.exe (file missing)
O23 - Service: Remoteprozeduraufruf (RPC) RpcSsTrkWks (rpcsstrkwks) - Unknown owner - C:\WINDOWS\system32\12520437r.exe (file missing)
O23 - Service: QoS-RSVP RSVPseclogon (rsvpseclogon) - Unknown owner - C:\WINDOWS\system32\34CoInstallero.exe (file missing)
O23 - Service: QoS-RSVP RSVPSENS (rsvpsens) - Unknown owner - C:\WINDOWS\system32\1031y.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Druckwarteschlange SpoolerSwPrv (spoolerswprv) - Unknown owner - C:\WINDOWS\system32\2052k.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: System Event Browser (system event browser) - Unknown owner - C:\WINDOWS\system32\sysbrw32.exe (file missing)
O23 - Service: Designs ThemesSwPrv (themesswprv) - Unknown owner - C:\WINDOWS\system32\12520437o.exe (file missing)
O23 - Service: Designs ThemesSwPrv themesswprvRDSessMgr (themesswprvrdsessmgr) - Unknown owner - C:\WINDOWS\system32\12520437rj.exe (file missing)
O23 - Service: Windows-Zeitgeber W32TimeAlerter (w32timealerter) - Unknown owner - C:\WINDOWS\system32\12520850z.exe (file missing)
O23 - Service: WebClient WebClientNetlogon (webclientnetlogon) - Unknown owner - C:\WINDOWS\system32\1031o.exe (file missing)
O23 - Service: Windows Media Connect-Dienst WMConnectCDSlanmanserver (wmconnectcdslanmanserver) - Unknown owner - C:\WINDOWS\system32\169050962d.exe (file missing)
O23 - Service: WMI-Leistungsadapter WmiApSrvlanmanserver (wmiapsrvlanmanserver) - Unknown owner - C:\WINDOWS\system32\1054e.exe (file missing)
O23 - Service: WMI-Leistungsadapter WmiApSrvsrservice (wmiapsrvsrservice) - Unknown owner - C:\WINDOWS\system32\2052ya.exe (file missing)
O23 - Service: Automatische Updates wuauservWmiApSrv (wuauservwmiapsrv) - Unknown owner - C:\WINDOWS\system32\acledite.exe (file missing)

--
End of file - 13832 bytes

-SilverDragon- · 21.06.2008, 19:19

Dir würde ich auf dem schnellsten Weg die Neuinstallation on Windows empfehlen!

Warum?
Deswegen:
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe <-Das ist von einem Backdoor der dritten Zugriff auf deinen Rechner ermöglicht!

Und diverse andere Schädlinge...!

Gehe nach der Anleitung zum Neu aufsetzen und anschließender Absicherung vor.

Ändere anschließend alle Passwörter, von online-Accounts!
Machst du online banking?

habe IE probleme mit Trojaner oder Viren??? HILFE

Log-Analyse und Auswertung: habe IE probleme mit Trojaner oder Viren??? HILFE