|
Plagegeister aller Art und deren Bekämpfung: Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.09.2008, 16:55 | #1 |
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! Schönen Abend, ich bin aufgrund von meinem Befall und der google suche auf euer board gestoßen, ich hoffe ihr könnt mir vlt weiterhelfen... Also zum Problem, ich habe eine Aktuelle Version der GData Internet Security. So habe dann gestern mal einen Check gemacht, aufgrund von gewisser Ungeriemtheiten. Denn es ist so, mein Prozessor lief sonst im normalbetrieb bei 0-3% Leistung, plötzlich ist er bei 40-50% dauerhaft. (!!!) Nun habe ich bei diesem Scan eine vielzahl an böser soft erkannt und diese in Quarantäne gebannt, nur keine besserung. Das untere Bild zeigt meinen Aktuellen Quarantäneordnder, die schwarzen Striche sind zensuren empfindlicher Informationen. edit: Sehe gerade, das bild ist recht schwer zu lesen, wenn es nicht geht lade ich es nochmal neu hoch, verzeiht mir bitte. /edit: So nun meine Frage, kann mir evt einer helfen? Ich habe erste Schritte bereits eingeleitet und an einem fremden Rechner sämtliche Passwörter geändert. Weiterhin habe ich mein OnlineBank Account sperren lassen. So nun hoffe ich, ich habe mich zumindest auf erstem Schritt in Sicherheit gebracht. nur möchte ich schon mein system wieder sauber haben. :-( Ich benutze Windows XP Home SP3 und Firefox 3.0.3, weiterhin besitze ich keinen IExplorer mehr, daher muss diese iexplorer.exe in meinen Prozessen etwas böses sein. Ich habe hier viele detaillierte Anleitungen lesen können. Nur wollte ich nichts auf eigene Faust und ohne "führende Hand" in Angriff nehmen. Ich bin für jede Hilfe sehr Dankbar und hoffe ich bin noch nicht verloren. Liebe Grüße, der Elmo... Geändert von GUA (01.10.2008 um 17:38 Uhr) Grund: bild entfernt |
29.09.2008, 20:00 | #2 |
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! Hallo nochmal,
__________________Sorry für das Doppelposting, aber ich kann nicht mehr editieren... Hier das Bild noch einmal leserlicher... Ich hoffe mi kann einer helfen, und sofern ich gegen irgendwelche boardregeln verstoßrn habe, bitte ich darum mich aufzuklären. Aber soweit ich es ersehen kann, habe ich mich an di vorschriften gehalten. edit: Habe gerade mit dem SecurityTaskManager nen paar prozesse untersucht, nun habe ich die iexplorer.exe gefunden. Diese lässt keineswegs löschen, auch nicht shreddern durch GData. Es ist sogar so, das mir angezeigt ird, wie sie geshreddert wird, aber dann immer wieder auftaucht. Es handelt sich ja offensichtlich um etwas böses, kann man denn da nicht mit hilfe eines Editors oder anderweitigen prgrammen den Virus so um schreiben, das er kein potenzial mehr hat? Sorry, wenn diese frage dumm sein sollte, aber ich habe auf diesem gebiet null Fachwissen. /edit. Naja Liebe Grüße, der Elmo... Geändert von Elmo86 (29.09.2008 um 20:18 Uhr) |
01.10.2008, 09:13 | #3 |
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! Hallo nochmal,
__________________ich weiß nicht ob ich irgendwas falsch gemacht habe, aber kann mir denn keiner helfen? :-( Falls an meinem Titel etwas auszusetzen ist, dann löscht bitte das thema, und gebt mir einen Hinweis wie ich es besser gestalten könnte. Der Titelanfang mit "Hi@All..." war so gewählt, da das mein erster Post hier war und ich eine allgemeine Begrüßung aussprechen wollte. Wenn daran etwas auszusetzen ist, tut es mir leid. Ich hoffe ihr könnt mir helfen bzw. meinen PC noch retten... Vielen Dank im voraus und liebe Grüße, der Elmo... |
01.10.2008, 17:35 | #4 | ||
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! Hallo Zitat:
Benutze bitte mal den CCleaner zum aufräumen und Zitat:
Die deskbar.dll lass bitte hier Virustotal, hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
01.10.2008, 18:04 | #5 |
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! Hallo und vielen herzlichen Dank für deine Antwort, :-) !! Also um noch etwas genauer zu werden, ich bin ja nicht untätig gewesen und habe einiges schon versucht. Es läuft gerade ein Malwarebyte Scan, der bereits 12 infizierte objekte entdeckt hat. Auch die "iexplorer.exe" habe ich eliminiert, indem ich in den abgesicherten modus ging und den entsprechenden Ordner dort gelöscht habe. (--> hoffe das war kein fehler...) Seither ist in bezug auf diese exe schonmal ruhe. So desweiteren, die deskbar.dll ist nicht mehr da, da der ganze ordner nicht mehr existiert. Das war so, ich habe von der chip-zeitung diesen Brockhaus2007 digital installieren wollen. Dabei gab Gdata dann die Meldung der deskbar.dll raus, woraufhin ich mit doch leicht verärgerter stimmung, dass prog. gleich wieder deinstallierte. Was hierzu noch zu sagen wäre, zudem zeitpunkt, als das war hatte ich noch nicht einmal Internet also keine externe infektion möglich, die sich dann mit einbringen wollte... Oh, ja ich sehe, der kommplette Pfad fehlt ja, tut mir leid, da war ich aus lauter sorge um mein system ein Esel. Also ich poste jetzt direkt mal mein malwarebyte log. Ich werde dann warten und sofern ich ein okey erhalte die gefundenen objekte löschen. :-) Code:
ATTFilter Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1225 Windows 5.1.2600 Service Pack 3 01.10.2008 18:49:35 mbam-log-2008-10-01 (18-49-29).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|) Durchsuchte Objekte: 143707 Laufzeit: 47 minute(s), 36 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken. HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken. C:\Dokumente und Einstellungen\Loemker\Anwendungsdaten\addon.dat (Malware.Trace) -> No action taken. Also nochmal herzlichen Dank für deine Antwort und bitte sag doch noch einmal, soll ich jetzt wie in deinem vorigen Post verfahren oder erstmal die von malwarebyte gefundenen entfernen? Übrigens, habe gerade nochmal geschaut, die "addon.dat" war die von "spydoctor" als gefährlche datei indentifizierte. Danke, liebe Grüße, der Elmo... |
01.10.2008, 18:20 | #6 | |||||
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! Hallo Zitat:
Hast du diese Dateien überprüfen lassen? Zitat:
Zitat:
Zitat:
Zitat:
Zeige uns doch mal ein HijackThis Log. MFG
__________________ --> Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! |
01.10.2008, 19:36 | #7 |
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! Hi, also: Habe nun die Malwarebyte Funde entfernt. So, wegen der iexplorer.exe, also ich habe die vorher testen lassen, bei virustotal, der zeigte mir nichts, aber es musste einfach schadsoft sein(s.u.) und er lies sich nicht löschen, es wurde gesagt, er sei gelöscht, aber der ordner blieb trotzdem inklusive inhalt vorhanden, um genau zu sein lies der sich nur shreddern(GData), aber trotzdem der erwähnte effekt. Was aber das offensichtlichste war, ist die tatsache, das ich keinen IE besitze, der ist schon lange deinstalliert, weil ich gelesen hab, dass der nur probleme macht. Aber was auch immer das ist, irgendetwas startet immer noch bei jedem neustart mit, ich kann es sehen, es öffnet sich ein fenster, für den bruchteil einer sekunde und verschwindet wieder, es ist nicht ersichtlich, was da steht. nur die kopfzeile, irgendetwas mit persönliche einstellungen o.ä., dieses fenster war defakto vor dem befall nicht da. Zu vergleichen ist es damit, wenn man mit Borland Delphi in PASCAL programmiert, und die "readln" zeile vor dem "end." vergisst. Ich hoffe damit ist etwas anzufangen. Wenn nicht tut es mir echt leid... So habe ja bereits ein HijackThis gemacht, bevor ich überhaupt tätig wurde, da ist auch noch die iexplorer.exe zu sehen. Aber die war deinitiv schadcode, da sie erst aufgetaucht ist, nachem die ganzen Trojaner aufgetaucht sind, außerdem läuft meine Prozessor leistung jetzt wieder mit 0-3% selbst jetzt wo mozilla offen ist. Und vor der terminierung lief er unnormaler weise die gesamte zeit auf mindestes 20%, meißt jedoch weit höher. Also das 1. HJT log ist von voher, und das folgende von dann, nachdem ich im abgesicherten modus war und die malwarebyte hab laufen und arbeiten lassen. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:51:49, on 29.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe G:\QuicktimePlayer\QuickTimePlayer.exe L:\Security TaskManager\Security Task Manager\taskman.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinTV\WinTV.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Internet Explorer\iexplore.exe <<-- ist auf jeden Fall böse, lässt sich weder beenden, bzw. startet sofort wieder neu. Lässt sich auch nicht löschen!!! --<< C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKCU\..\Run: [*******Automount] "D:\*******120\******* 120\axcmd.exe" /automount <<-- editiert von mir--<< O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220697105484 O17 - HKLM\System\CCS\Services\Tcpip\..\{1093DA7D-87A0-4F32-AE3A-C701AE10309C}: NameServer = 192.168.*.* \ O17 - HKLM\System\CCS\Services\Tcpip\..\{761C45D1-3F34-43B5-A2D4-3B125F6C1535}: NameServer = 192.168.*.* --> editiert von mir O17 - HKLM\System\CS1\Services\Tcpip\..\{1093DA7D-87A0-4F32-AE3A-C701AE10309C}: NameServer = 192.168.*.* / O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - D:\*******120\*******120\StarWind\StarWindServiceAE.exe (file missing) <-- editiert von mir -- End of file - 8726 bytes Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:27:30, on 01.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\WINDOWS\Explorer.EXE C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe, O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220697105484 O17 - HKLM\System\CCS\Services\Tcpip\..\{1093DA7D-87A0-4F32-AE3A-C701AE10309C}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{761C45D1-3F34-43B5-A2D4-3B125F6C1535}: NameServer = 192.168.0.0 O17 - HKLM\System\CS1\Services\Tcpip\..\{1093DA7D-87A0-4F32-AE3A-C701AE10309C}: NameServer = 192.168.0.1 O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - D:\Alcohol120\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing) -- End of file - 7790 bytes Vielen Dank für deine hilfe, ich bin dir echt Dankbar!! Liebe Grüße, der Elmo |
02.10.2008, 15:31 | #8 | |||
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! Hallo Zitat:
Wie führst du denn Updates des Betriebssystems durch... Zitat:
Zitat:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
03.10.2008, 17:12 | #9 |
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! Hi, also eins nochmal vorweg, ich bin dir wirklich aus tiefstem herzen Dankbar, dass du mir hilfst. :-) Ohne dich wäre ich aufgeschmissen. Ich werde die von dir empfohlenen Schritte einleiten, sobald ich wieder zuhause bin, bin im moment bis morgen weg. Werde aber dann das empfohlene ausprobieren und dann bescheid geben... Aber eine Frage noch, da steht ja alles deaktivieren, also Virenwächter und so. Muss ich dann die ganzen dienste von GData ausschalten, also Virenschutz, Firewall, Scripte zulassen usw. usf. . Ja tut mir leid, wegen der Sache mit PASCAL, aber ich habe versucht mich total darauf zu konzentrieren und glaube ich lesen können, dass da etwas von ...\temp\... stand. Also das es im Tempordner des Systems ausgeführt wird.(?!) Oh, muss man den IE haben für diese Updates? Dann werde ich den nach der Säuberung wieder installieren. Aber ich habe gelesen, das er viele Probs machen würde... Okey, vielen Dank nochmal... :-) Liebe Grüße, der Elmo... |
03.10.2008, 17:28 | #10 | |
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!!Zitat:
__________________ Warum stürzt Windows 95 so oft ab? Na klar - weil das Verfallsdatum abgelaufen ist! |
04.10.2008, 13:29 | #11 |
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! Hi, ist denn das wirklich nötig, das System neu aufzusetzen? Wenn ja würde ich jetzt meine externe HDD Formatieren, die dann mit dem Inhalt aller Partitionen füllen, und dann auf der ex. HDD einmal Malwarebyte laufen lassen, und dann den Rechner zu meinem Händler bringen, wo ich ihn dann aufseten lassen würde und dann wäre es damit gut, diese Tipps um das system sicherer zu machen, würde ich dann übernehmen und dann hoffentlich erstmal ruhe haben vor den angriffen... Oder ist da doch noch etwas zu drehen, ich meine, ich habe jetzt zwei Personen die mir ihre Hilfe anbieten, worüber ich sehr dankbar bin, nur die Meinungen driften doch sehr auseinander... Weiterhin noch eine Frage, kann Malwarebytes das Prog. Teamviewer als Trojanisches Pferd ansehen? Denn das hat ja glaube ich auch eine Backdoor funktion. Dieses nutzt mein Händler nämlich um von seiner Zentrale aus, Software Probleme hier am Rechner zu lösen. Diesen Dienst habe ich bisher noch nicht genutzt, aber vlt. wird das ja als bösartig erkannt... Vielen Dank euch allen und Liebe Grüße, der Elmo... |
07.10.2008, 10:14 | #12 |
| Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! Hallo, ich Danke euch allen nochmal herzlich und werde eurer board weiterempfehlen. Ich habe den Rechner allerdings nun weggegeben, er wird fachmänisch repariert und evt. kaufe ich einige zusatzsoft, die mein system sicherer werden lässt. Ich werde auch nicht nochmal meinen alten Rechner hochfahren und dessen Daten rüberholen, denn ein Malwarebyte Scan auf dem Gerät hat ergeben, das sich 506(!) infizierte Objekte auf ihm befinden!!! Unter anderem AVKiller, Backdoor und und und... |
Themen zu Hi@All Habe gestern bei einem Scan !7! Übeltäter entdeckt und eine iexplorer.exe!! |
angriff, befall, bild, check, das bild, erste schritte, firefox, frage, gdata, google, home, iexplorer, iexplorer.exe, internet, neu, problem, prozesse, prozessor, rechner, scan, sicherheit, sp3, suche, system, windows, windows xp |