Trojaner löst alert aus und öffnet Download auf Firefox

Danidi · 01.08.2008, 09:22

Hallo hilfsbereite Community,
ich bin neu hier und hoffe jemand von Euch kann mir helfen.
Jedes mal wenn ich einen Ordner öffne kommt folgende Meldung:

"Attention, User! some dangerous trojan horses detected in your system. Microsoft Windows files corrupted. This may lead to the destruction of important files in C:\WINDOWS. Download protection software now! Click OK to download the antispyware. (Recommended)"

Es macht keinen Unterschied ob ich auf "OK" oder "Abbrechen" klicke, jedes Mal wird Firefox geöffnet und macht zwei mal die Homepage www.spywareadvancedscanner.com/2008/_download.php?aid=880202 auf. Diese wird von Firefox 2.0.0.16 geblockt.

Ich habe Windows XP Home Edition (2002) Service Pack 2,

Habe mit folgenden Programmen geprüft:
Kaspersky Anti-Virus 7.0, Version 7.0.0125 ddffg
TuneUp Utilities 2008/ Freeware
hat das Problem nicht behoben.

Habe durch andere Beiträge gelesen und deswegen HJT durchgeführt. Ich habe nur nicht verstanden was ich als Nächstes machen soll, und bitte um Hilfe.
MFG Danidi

HJT LOG-DATEI:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:53:53, on 27.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\The Bat!\thebat.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {22D8E815-4A5E-4dfb-845E-AAB64207F5BD} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {6DDBF417-0774-46AD-940B-6A4D9A039407} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: VideoCodec Class - {926A61C9-5C20-4583-ACA7-ACE21088816E} - C:\WINDOWS\system32\RichVideoCodec.dll
O2 - BHO: VideoCodec Class - {949859A7-EB1F-400D-BDBC-C48238BDF788} - C:\WINDOWS\system32\AswBHO.dll
O3 - Toolbar: (no name) - {92085AD4-F48A-450d-BD93-B28CC7DF67CE} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EumexInst] "E:\Setup.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5399 bytes

Chris4You · 01.08.2008, 09:42

Hi,

(Richvideocodec)...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\RichVideoCodec.dll
C:\WINDOWS\system32\Richvideocodec.ocx
C:\WINDOWS\system32\richvideocodec.exe
C:\WINDOWS\system32\AswBHO.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O2 - BHO: VideoCodec Class - {926A61C9-5C20-4583-ACA7-ACE21088816E} - C:\WINDOWS\system32\RichVideoCodec.dll
O2 - BHO: VideoCodec Class - {949859A7-EB1F-400D-BDBC-C48238BDF788} - C:\WINDOWS\system32\AswBHO.dll
O2 - BHO: (no name) - {6DDBF417-0774-46AD-940B-6A4D9A039407} - (no file)
O2 - BHO: (no name) - {22D8E815-4A5E-4dfb-845E-AAB64207F5BD} - (no file)

Danach bitte MAM anwenden, poste das Log von MAM und ein neues HJ-Log;
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

Chris

Danidi · 01.08.2008, 11:44

Hallo Chris4you,
habe mich sehr gefreut über die schnelle Hilfe.
Ich habe jetzt folgendes durchgeführt:

1) Kaspersky Meldung nach Durchgang mit Avenger und Neustart
2) Logfile of The Avenger
3) Logfile of Trend Micro HijackThis
4) Malware (Probleme)
Danke, Danidi

1)
Der Avenger.txt file öffnet automatisch nach dem Neustart. Während ich den las, meldete sich Kaspersky 8 Mal. Ich klickte auf "Verbieten" da ich nicht wusste worum es ging. Anschliessende diese Kaspersky Meldung:

01.08.2008 11:55:06 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert.
01.08.2008 11:55:06 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten.
01.08.2008 11:55:19 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert.
01.08.2008 11:55:19 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten.
01.08.2008 11:55:20 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert.
01.08.2008 11:55:20 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten.
01.08.2008 11:55:21 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert.
01.08.2008 11:55:21 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten.
01.08.2008 11:55:26 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert.
01.08.2008 11:55:26 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten.
01.08.2008 11:55:28 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert.
01.08.2008 11:55:28 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten.
01.08.2008 11:55:30 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert.
01.08.2008 11:55:30 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten.
01.08.2008 11:55:31 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert.
01.08.2008 11:55:31 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten.

2) Avenger:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\RichVideoCodec.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\Richvideocodec.ocx" not found!
Deletion of file "C:\WINDOWS\system32\Richvideocodec.ocx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\richvideocodec.exe" not found!
Deletion of file "C:\WINDOWS\system32\richvideocodec.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\AswBHO.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

3)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:42, on 01.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\DOKUME~1\Rainer\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {22D8E815-4A5E-4dfb-845E-AAB64207F5BD} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {6DDBF417-0774-46AD-940B-6A4D9A039407} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: VideoCodec Class - {926A61C9-5C20-4583-ACA7-ACE21088816E} - C:\WINDOWS\system32\RichVideoCodec.dll (file missing)
O2 - BHO: VideoCodec Class - {949859A7-EB1F-400D-BDBC-C48238BDF788} - C:\WINDOWS\system32\AswBHO.dll (file missing)
O3 - Toolbar: (no name) - {92085AD4-F48A-450d-BD93-B28CC7DF67CE} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EumexInst] "E:\Setup.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5276 bytes

4) MALWARE:

Habe das Malware direkt vom e-mail downloadet. Beim Installieren kam folgende Meldung:

C:\Programme\Malwarebytes'Anti-Malware\mbamext.dll

DLL/OCX konnte nicht registriert werden: RegSvr32-Aufruf scheiterte mit Exit-Code 0x5.

Klicken Sie auf "Wiederholen" für ein weiteren Versuch,"Ignorieren", um trotzdem fortzufahren (nicht empfohlen), oder "Abbrechen", um die Installation abzubrechen.

Ich habe abgebrochen und ein zweites und drittes Mal versucht. Jedes mal abgebrochen bei der obigen Meldung.
Anschließende habe ich das Programm gelöscht und neu downloadet von http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html
Hatte leider kein Erfolg.
Mache ich was falsch oder gibt es andere Probleme?
Danke

Chris4You · 01.08.2008, 13:28

Hi,

Du hast vergessen wie angegeben die Einträge mit HJ zu fixen, hole das bitte umgehen nach!

Lasse die Datei "C:\WINDOWS\system32\wuauclt.exe" online prüfen!
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat:

C:\WINDOWS\system32\wuauclt.exe

Die Änderung kann auch von einem Windowsupdate herkommen, ist die Meldung nochmal aufgetaucht?

Gut, dann packen wir die Keule aus:

Combofix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Lösche danach alle temporären Verzeichnisse und versuche die Installation von MAM nochmal.

Poste unbedingt das Log von HJ beim fixen und das Log von Combifx...

chris

Danidi · 01.08.2008, 16:26

Zitat:

Du hast vergessen wie angegeben die Einträge mit HJ zu fixen, hole das bitte umgehen nach!

Hoffe es ist richtig so:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26:13, on 01.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Dokumente und Einstellungen\Rainer\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 1462 bytes

Zitat:

Lasse die Datei "C:\WINDOWS\system32\wuauclt.exe" online prüfen!
virustotal

MD5: f3e9065eb617a7e3a832a7976bfa021b
First received: 2007.11.15 01:13:55 (CET)
Datum 2008.08.01 13:50:48 (CET) [<1D]
Ergebnisse 0/36
Permalink: analisis/962d825db4fbe04295fd4a7b36e653f3

Datei wuauclt.exe empfangen 2008.08.01 15:37:43 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.29.1 2008.08.01 -
AntiVir 7.8.1.15 2008.08.01 -
Authentium 5.1.0.4 2008.07.31 -
Avast 4.8.1195.0 2008.07.31 -
AVG 8.0.0.156 2008.08.01 -
BitDefender 7.2 2008.08.01 -
CAT-QuickHeal 9.50 2008.07.31 -
ClamAV 0.93.1 2008.08.01 -
DrWeb 4.44.0.09170 2008.08.01 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.6001 2008.08.01 -
Ewido 4.0 2008.08.01 -
F-Prot 4.4.4.56 2008.07.31 -
F-Secure 7.60.13501.0 2008.08.01 -
Fortinet 3.14.0.0 2008.08.01 -
GData 2.0.7306.1023 2008.08.01 -
Ikarus T3.1.1.34.0 2008.08.01 -
K7AntiVirus 7.10.399 2008.07.31 -
Kaspersky 7.0.0.125 2008.08.01 -
McAfee 5351 2008.07.31 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3317 2008.08.01 -
Norman 5.80.02 2008.08.01 -
Panda 9.0.0.4 2008.08.01 -
PCTools 4.4.2.0 2008.08.01 -
Prevx1 V2 2008.08.01 -
Rising 20.55.42.00 2008.08.01 -
Sophos 4.31.0 2008.08.01 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.01 -
TheHacker 6.2.96.391 2008.07.31 -
TrendMicro 8.700.0.1004 2008.08.01 -
VBA32 3.12.8.2 2008.08.01 -
ViRobot 2008.8.1.1321 2008.08.01 -
VirusBuster 4.5.11.0 2008.07.31 -
Webwasher-Gateway 6.6.2 2008.08.01 -
weitere Informationen
File size: 53080 bytes
MD5...: f3e9065eb617a7e3a832a7976bfa021b
SHA1..: 42262216cce49ee322d571d270abffcfdce55e6d
SHA256: 46dafc715bc2bcbfd56a3b2bc3df1dd2c036893eab2e4fd6e4393e081054d50d
SHA512: a43439e2737812501d8899e2c38f8735b0f5c1ccc5d99982cf3fb1d03765d5e1
5c5421ad54f55e446461eb3f0f7c7d3416e59fd82ab2527793f00c3ac5961fd1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x404234
timedatestamp.....: 0x46ae8ef8 (Tue Jul 31 01:23:04 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8a28 0x8c00 5.99 011b966653f3c4a818a5ae0b39a44d40
.data 0xa000 0xd54 0x400 5.81 aea75c550ab527cbfba56bc33d16ea93
.rsrc 0xb000 0x798 0x800 4.49 51276793839194b59b4a69713dd86423
.reloc 0xc000 0xc86 0xe00 3.09 721f27a40116bc804f4b6c186c81d87c

( 6 imports )
> KERNEL32.dll: CreateFileW, CreateDirectoryW, GetFileAttributesW, ExpandEnvironmentStringsW, lstrlenW, CreateProcessW, VerSetConditionMask, VerifyVersionInfoW, OutputDebugStringW, WriteFile, FlushFileBuffers, GetModuleFileNameW, InterlockedIncrement, InterlockedDecrement, GetSystemTime, GetLastError, SetLastError, GetFileSize, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, SetFilePointer, SetEndOfFile, ReleaseMutex, WaitForSingleObject, CreateMutexW, CloseHandle, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoW, GetTimeZoneInformation, SystemTimeToTzSpecificLocalTime, GetSystemDirectoryW, LoadLibraryExW, GetDriveTypeW, GetVolumePathNameW, GetFileType, GetSystemInfo, GetModuleHandleW, CompareStringW, GetProcessHeap, HeapFree, HeapAlloc, GetCommandLineW, OpenEventW, FreeLibrary, GetProcAddress, WideCharToMultiByte, InterlockedExchange, Sleep, InterlockedCompareExchange
> msvcrt.dll: __dllonexit, _unlock, _controlfp, _terminate@@YAXXZ, free, malloc, memmove, memcpy, memset, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _lock, _cexit, __wgetmainargs, _vsnwprintf, _onexit, _exit
> ole32.dll: CoGetObject, StringFromGUID2, CoTaskMemFree, CoUninitialize, CoCreateInstance, CoInitialize, CoInitializeEx
> ADVAPI32.dll: AllocateAndInitializeSid, FreeSid, GetTokenInformation, DuplicateTokenEx, CheckTokenMembership, IsValidSid, CopySid, RegCreateKeyExW, RegSetValueExW, RegQueryValueExW, GetUserNameW, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExW, RegCloseKey
> OLEAUT32.dll: -, -
> SHLWAPI.dll: StrRChrW, -, PathStripToRootW, PathIsRelativeW, StrChrW, PathIsRootW, PathIsUNCW

( 0 exports )

Zitat:

Die Änderung kann auch von einem Windowsupdate herkommen, ist die Meldung nochmal aufgetaucht?

Es passiert manchmal wenn ich was installieren will, das Kaspersky sich meldet mit "invader" und ähnliches. Ich klicke dann immer "Vebieten", und dann erscheint diese Meldung, oder irgendeine lange Meldung mit "HKEY....."

Zitat:

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Habe ich gemacht, allerdings gab es keine Abfrage oder Gelegenheit "mit 1 etwas zu bestätigen", das Programm legte sofort los mit scannen. Es gab auch kein Neustart. Hier ist das Resultat von "ComboFix-quarantined-files.txt":

2008-07-03 03:40 90112 --a------ C:\Qoobox\Quarantine\C\Programme\RichVideoCodec\InstallRegerLib.dll.vir
2008-08-01 15:58 54 --a------ C:\Qoobox\Quarantine\catchme.log
2008-08-01 15:59 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-08-01 15:59 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-08-01 15:59 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat

Zitat:

Lösche danach alle temporären Verzeichnisse und versuche die Installation von MAM nochmal.

Ich habe keine temporären Verzeichnisse gefunden, gehe davon aus das die (wie immer) automatisch gelöscht werden.
Vor ich MAM nochmals versuche muss ich das hier erst posten, sonst verliere ich komplett den Faden.
PS. muss ich eigentlich Kaspersky ausschalten bevor ich Programme wie ComboFix, HighJack etc. betätige?
Seit ich diese "Reinigung" heute mache, meldet Kaspersky sich oft und will das ich entweder "es" erlaube oder verbiete. Beispiel:
"Zugriff auf Registrierung: HKEY_LOCAL_MASCHINE\s...Shell.Extension"
"Prozess: (PID:2728)"
Danke

Chris4You · 01.08.2008, 16:38

Hi,

bitte die genannte Programme downloaden, dann offline gehen und Kaspersky bitte komplett abschalten.
Dann Combofix noch mal laufen lassen, dann MAM.
Danach Kaspersky wieder einschalten und online gehen und die logs posten...

chris

Danidi · 01.08.2008, 17:32

ComboFix wieder gemacht (ohne Kaspersky). Leider kann ich immer noch nicht MAM installieren. Scheitert am selben Punkt.

ComboFix 08-07-31.06 - Rainer 2008-08-01 17:52:02.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.241 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Rainer\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-01 bis 2008-08-01 ))))))))))))))))))))))))))))))
.

2008-07-18 10:17 . 2008-07-18 10:17 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Eigene Dateien
2008-07-18 10:16 . 2007-11-12 13:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Vorlagen
2008-07-18 10:16 . 2007-11-12 11:47 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Startmenü
2008-07-18 10:16 . 2007-11-12 11:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung
2008-07-18 10:16 . 2008-08-01 17:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen
2008-07-18 10:16 . 2008-07-18 10:17 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Favoriten
2008-07-18 10:16 . 2007-11-12 11:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Druckumgebung
2008-07-18 10:16 . 2008-07-18 10:52 <DIR> dr-h----- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten
2008-07-18 10:16 . 2008-07-18 10:17 <DIR> d-------- C:\Dokumente und Einstellungen\Gast
2008-07-09 09:39 . 2008-07-09 09:39 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-07-09 09:39 . 2008-05-29 09:28 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-07-09 09:38 . 2008-07-25 12:50 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-07-09 09:37 . 2008-07-09 09:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-06 20:17 . 2008-07-06 20:20 <DIR> d-------- C:\LSPWLITE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-01 15:56 34,345,504 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-01 15:55 1,002,272 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-01 13:49 469,640 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-01 13:49 100,820 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-01 13:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-01 09:49 --------- d-----w C:\Programme\The Bat!
2008-07-25 08:04 96,559 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-07-25 08:04 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-16 12:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-06-26 13:01 --------- d-----w C:\Programme\Hewlett-Packard
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 10:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-03-14 08:22 63,664 ----a-w C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"The Bat! E-Mail Client by Ritlabs"=C:\Programme\The Bat!\thebat.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CanonMyPrinter"=C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
"CanonSolutionMenu"=C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

R2 CAPI20;Eumex 504PC SE;C:\WINDOWS\system32\Drivers\CAPI20.SYS [2005-05-12 10:41]
R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2005-05-12 10:41]
R2 IJPLMSVC;PIXMA Extended Survey Program;C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 18:20]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 15:58]
R3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-09 09:39]
S3 dtwmnic5;Telekom Eumex 504PC SE;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys []
S3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS []
S3 TNPacket;T-Systems Nova Packet Capture Driver;C:\Programme\T-DSL SpeedManager\TNPACKET.SYS []
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [2005-05-12 10:41]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Mozilla\Firefox\Profiles\bdclkupz.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de

fficial

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-01 17:56:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-01 18:00:15
ComboFix-quarantined-files.txt 2008-08-01 16:00:12
ComboFix2.txt 2008-08-01 14:01:38

Pre-Run: 6,234,611,712 Bytes frei
Post-Run: 6,226,440,192 Bytes frei

102 --- E O F --- 2008-07-09 15:11:54

Danidi · 02.08.2008, 13:15

Aus Verzweiflung habe ich mich entschieden „Ignorieren“ anzuklicken als ich zum wiederholten Mal versuchte Anti-Malware zu installieren, auch wenn es nicht empfohlen wird. Es hat funktioniert und hier ist endlich das Log:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1015
Windows 5.1.2600 Service Pack 2

12:57:29 02.08.2008
mbam-log-8-2-2008 (12-57-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 73297
Laufzeit: 31 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\richvideocodec.videocodec (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\richvideocodec.videocodec.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier ist der HijacjThis Log, den ich gemacht habe nach dem Malware. Muss ich
jetzt „Fix it“ auch machen?

Danke Danidi

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:06:10, on 02.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Virus und andere\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 1867 bytes

Chris4You · 03.08.2008, 15:45

Hi,

nein, die RegKeys hat MAM entfernt...

Was treibt der Rechner?

chris

Danidi · 03.08.2008, 17:26

Der Rechner benimmt sich jetzt ganz normal, ist ruhig, etwas schneller und alle komischen Kleinigkeiten die eine längere Zeit genervt haben, sind jetzt auch erledigt.
Ich bin Dir sehr dankbar für die tolle Unterstützung und Hilfe die ich bekommen habe.
Herzlichen Dank !:aplaus:
Danidi

Trojaner löst alert aus und öffnet Download auf Firefox

Plagegeister aller Art und deren Bekämpfung: Trojaner löst alert aus und öffnet Download auf Firefox