Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE

SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE


Log-Analyse und Auswertung: SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.12.2008, 23:54   #1
yohoo
 
SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE - Standard

SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE


Hallo,

während dem Surfen im Internet hat mein AVG Virenscanner plötzlich den Trojaner "SHeur2.FJD" entdeckt und konnte ihn nicht automatisch entfernen. Anschließend wurde probiert, in regelmäßigen Abständen Werbe-Webseiten aufzurufen (zu dem Zeitpunkt war ich dann bereits offline). Zusätzlich sind mehrere Fehlermeldungen mit unsinnigem Text erschienen, die von Prozessen geöffnet wurden, die laut Google nichts auf meinem Computer zu tun haben sollten.

Ein vollständiger Scan mit AVG hat den Trojaner "SHeur2.FJD" in folgender Datei gefunden und die Datei anschließend gelöscht:
Code:
ATTFilter
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\TEMP\prun.tmp
Anschließend habe ich mich an diesem Foren-Eintrag orientiert und MAM und danach Combofix durchgeführt. Die Logfiles hänge ich an.

Es wäre super, wenn mir jemand sagen könnte, ob mein Rechner wieder clean ist! Vielen Dank für die Hilfe & dieses fantastische Forum!



Code:
ATTFilter
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.1.2600 Service Pack 3

12.12.2008 22:21:13
mbam-log-2008-12-12 (22-21-02).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 164610
Laufzeit: 29 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\jkkIBSmk.dll (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkibsmk (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\jkkIBSmk.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\cbXOIbBu.dll (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\TEMP\winvsnet.tmp (Rogue.Installer) -> No action taken.
Code:
ATTFilter
ComboFix 08-12-12.01 - *** 2008-12-12 23:17:04.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1780 [GMT 1:00]
ausgeführt von:: d:\desktop\virus\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Anwendungsdaten\inst.exe
c:\windows\IE4 Error Log.txt
c:\windows\system32\ddcDuSMG.dll
c:\windows\Tasks\nffxwdbz.job

.
(((((((((((((((((((((((   Dateien erstellt von 2008-11-12 bis 2008-12-12  ))))))))))))))))))))))))))))))
.

2008-12-12 21:43 . 2008-12-12 21:43	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-12 21:43 . 2008-12-12 21:43	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2008-12-12 21:43 . 2008-12-12 21:43	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-12 21:43 . 2008-12-03 19:52	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-12 21:43 . 2008-12-03 19:52	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-10 15:44 . 2008-12-10 15:44	410,984	--a------	c:\windows\system32\deploytk.dll
2008-11-18 00:09 . 2008-11-18 00:08	33,846	--a------	c:\windows\system32\SpoonUninstall-dBpoweramp Monkeys Audio Codec.bmp
2008-11-18 00:09 . 2008-11-18 00:09	3,103	--a------	c:\windows\system32\SpoonUninstall-dBpoweramp Monkeys Audio Codec.dat
2008-11-12 11:30 . 2008-10-24 12:21	455,296	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 11:29 . 2008-09-04 18:15	1,106,944	-----c---	c:\windows\system32\dllcache\msxml3.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-12 22:21	---------	d-----w	c:\programme\Mozilla Thunderbird
2008-12-12 22:09	---------	d-----w	c:\programme\foobar2000
2008-12-12 21:07	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2008-12-12 20:07	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2008-12-12 19:27	---------	d-----w	c:\programme\eMule
2008-12-10 14:44	---------	d-----w	c:\programme\Java
2008-12-04 23:21	---------	d-----w	c:\programme\MediaCoder
2008-12-04 22:04	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2008-12-04 22:02	---------	d-----w	c:\programme\Avidemux 2.4
2008-11-29 03:21	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla
2008-11-25 12:15	99,216	----a-w	c:\windows\system32\drivers\cmdguard.sys
2008-11-25 12:15	31,504	----a-w	c:\windows\system32\drivers\cmdhlp.sys
2008-11-20 02:46	---------	d-----w	c:\programme\Skype
2008-11-12 14:03	---------	d-----w	c:\programme\DivX
2008-11-08 16:40	---------	d-----w	c:\programme\Notepad++
2008-10-24 13:23	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\BOM
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 23:14	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\avidemux
2008-10-22 23:07	---------	d-----w	c:\programme\123 AVI to GIF Converter
2008-10-22 22:05	---------	d-----w	c:\programme\Biet-O-Matic
2008-10-19 21:16	---------	d-----w	c:\programme\MKVtoolnix
2008-10-18 00:04	---------	d-----w	c:\programme\uTorrent
2008-10-14 13:35	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2008-10-14 13:30	---------	d-----w	c:\programme\ATI Technologies
2008-09-11 10:38	47,360	----a-w	c:\dokumente und einstellungen\***\Anwendungsdaten\pcouffin.sys
2008-04-15 07:58	8,390	----a-w	c:\programme\Gemeinsame Dateien\IssProcLanguage.ini
2008-04-15 07:58	188,918	----a-w	c:\programme\Gemeinsame Dateien\IssProc.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MiriServAutoStart"="c:\programme\MiriServer\MiriServer.exe" [2005-08-08 1652224]
"Google Update"="c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-11-07 21633320]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"COMODO Firewall Pro"="c:\programme\COMODO\Firewall\cfp.exe" [2008-11-25 1796856]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"Adobe_ID0EYTHM"="c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-10 136600]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-04-20 136472]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-04-21 2622296]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-04-21 911168]
"WinVNC"="c:\programme\TightVNC\WinVNC.exe" [2007-05-07 589824]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"Thunderbird"="c:\programme\Mozilla Thunderbird\thunderbird.exe" [2008-11-20 8502888]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
foobar2000.lnk - c:\programme\foobar2000\foobar2000.exe [2008-11-19 1252352]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-06-02 295606]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 00000000
"NoSMMyDocs"= 01000000
"NoSMMyPictures"= 01000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-05-26 97928]
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2008-05-26 99216]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2008-05-26 31504]
R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [2005-12-18 141184]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-05-26 231704]
S3 RTCore32;RTCore32;\??\c:\programme\RightMark Memory Analyzer\RTCore32.sys []
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe [2008-10-01 98488]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4bacc890-449a-11dd-9ed8-001d922fc53d}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\Shell\Explore\command - system.exe
\Shell\Open\command - system.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2008-12-12 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 13:40]

2008-12-11 c:\windows\Tasks\NSSstub.job
- c:\windows\system32\Adobe\Shockwave 11\nssstub.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
HKLM-Run-NBKeyScan - c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe


.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://tw.msi.com.tw/autobios/VerChk/LSeries.asp?MSIOCXVersion=3.90&WorkFunction=LMonitor
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O16 -: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
c:\windows\Downloaded Program Files\MSIWDev.inf
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\pp59o7kq.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/
FF - plugin: c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.27\npGoogleOneClick6.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-12 23:21:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(960)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1016)
c:\windows\system32\relog_ap.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\COMODO\Firewall\cmdagent.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\NetLimiter 2 Pro\nlsvc.exe
c:\windows\system32\oodag.exe
c:\programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
c:\programme\NetLimiter 2 Pro\NLClient.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\programme\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\programme\AVG\AVG8\avgrsx.exe
c:\programme\AVG\AVG8\avgrsx.exe
c:\programme\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-12 23:25:07 - PC wurde neu gestartet [***]
ComboFix-quarantined-files.txt  2008-12-12 22:25:03

Vor Suchlauf: 13 Verzeichnis(se), 10.113.404.928 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 10,059,972,608 Bytes frei

203	--- E O F ---	2008-12-12 03:01:19

Alt 12.12.2008, 23:55   #2
yohoo
 
SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE - Standard

SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE


Nach MOM und ComboFix findet HijackThis noch folgendes:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:31:26, on 12.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\TightVNC\WinVNC.exe
C:\Programme\NetLimiter 2 Pro\NLClient.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MiriServer\MiriServer.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\foobar2000\foobar2000.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\AVG\AVG8\avgrsx.exe
C:\WINDOWS\explorer.exe
C:\Programme\AVG\AVG8\avgrsx.exe
C:\Programme\AVG\AVG8\avgrsx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Desktop\virus\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://tw.msi.com.tw/autobios/VerChk/LSeries.asp?MSIOCXVersion=3.90&WorkFunction=LMonitor
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Thunderbird] "C:\Programme\Mozilla Thunderbird\thunderbird.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MiriServAutoStart] "C:\Programme\MiriServer\MiriServer.exe" /NoSplash /Sleep
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: foobar2000.lnk = C:\Programme\foobar2000\foobar2000.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: h**p://asia.msi.com.tw
O15 - Trusted Zone: h**p://global.msi.com.tw
O15 - Trusted Zone: h**p://www.msi.com.tw
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - h**p://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Programme\TightVNC\WinVNC.exe

--
End of file - 10862 bytes
__________________
Antwort

Themen zu SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE
autorun, avg, bonjour, broken.opencommand, browser, c.exe, c:\windows\system32\rundll32.exe, combofix, components, computer, desktop, einstellungen, error, excel, firefox, google, google update, helper, internet, jusched.exe, konvertieren, laufende prozesse, logon.exe, malwarebytes' anti-malware, mozilla, pdf-datei, prozesse, registrierungsschlüssel, rthdcpl.exe, rundll, scan, shell32.dll, skype.exe, software, suchlauf, super, system, tcp, trojan.downloader, trojaner, virus, windows xp


« "resycled\boot.com ist keine zulaessige win32-anwendung" | W32/Virut.b eingefangen »


Ähnliche Themen: SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE


  1. Windows 7 : Webseiten sind von werbe adds besetzt und werden ständig zu pop ups umgeleitet
    Log-Analyse und Auswertung - 31.03.2015 (17)
  2. Windows 7: Webseiten werden auf Werbung umgeleitet (+Werbe-Tabs)
    Log-Analyse und Auswertung - 22.02.2015 (2)
  3. Windows 7: Umleitung auf Werbe-Webseiten ("Glückwunsch! Sie wurden ausgewählt..." etc.)
    Log-Analyse und Auswertung - 19.11.2014 (11)
  4. Windows 7: Webseiten werden auf Werbung umgeleitet; ständig erscheinende Werbe-Pop-Ups und blau markierte Wörter
    Log-Analyse und Auswertung - 03.07.2014 (18)
  5. Sich selbst öffnende (Werbe-)Webseiten, Startseiten-Änderung
    Log-Analyse und Auswertung - 21.06.2014 (12)
  6. Webseiten werden automatisch umgeleitet und Werbe Pop Ups im Browser
    Plagegeister aller Art und deren Bekämpfung - 18.05.2014 (13)
  7. ad.yieldmanager.com - lästige, sporadische werbe popups + weiterleitung auf falsche webseiten
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (23)
  8. Trojaner SHeur2.APRQ und SHeur2.BQYZ auf Vokabeltrainer-CD gefunden!
    Antiviren-, Firewall- und andere Schutzprogramme - 30.08.2010 (4)
  9. Was war das denn? prun.exe wurde beendet, dann Absturz und jetzt finde ich sie nicht
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (19)
  10. Trojaner SHeur2.Capp
    Plagegeister aller Art und deren Bekämpfung - 18.01.2010 (1)
  11. Immer neue Probleme: prun.tmp net.net Trojan.Agent swaw.tmp ODiag.evt
    Plagegeister aller Art und deren Bekämpfung - 02.11.2009 (9)
  12. SHeur2.ARNC fund
    Log-Analyse und Auswertung - 19.07.2009 (0)
  13. prnet.tmp & prun.tmp - Reinigung Erfolgreich?
    Log-Analyse und Auswertung - 17.05.2009 (12)
  14. SHeur2.UGT
    Log-Analyse und Auswertung - 16.03.2009 (9)
  15. Trojaner auf PC - SHeur2.HAN
    Mülltonne - 24.12.2008 (0)
  16. Was tun? gadcom.exe/SHeur2.FYW
    Plagegeister aller Art und deren Bekämpfung - 23.12.2008 (1)
  17. gadcom.exe/SHeur2.FYW
    Mülltonne - 23.12.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE - Hallo, während dem Surfen im Internet hat mein AVG Virenscanner plötzlich den Trojaner "SHeur2.FJD" entdeckt und konnte ihn nicht automatisch entfernen. Anschließend wurde probiert, in regelmäßigen Abständen Werbe-Webseiten aufzurufen (zu - SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE...
Archiv
Du betrachtest: SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130