Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Diverse BHO-Trojaner..

Diverse BHO-Trojaner..


Log-Analyse und Auswertung: Diverse BHO-Trojaner..

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 24.01.2009, 12:04   #1
wullxz
 
Diverse BHO-Trojaner.. - Standard

Diverse BHO-Trojaner..


Hi, hier sind diverse Viren / Trojaner drauf.
Ich habe schon ein paar Programme deinstalliert, die hier unbekannt installiert waren...

Was ist hier noch zu tun?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:52:25, on 24.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Acer\LANScope Agent\awServ.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Acer\LANScope Agent\awtray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\***\LOKALE~1\Temp\svhost3.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Hama\Hama Digital Software Suite\Media Card Companion\MCC Monitor.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://w*w.schalke04.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h*p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h*p://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: addestination - {27dd47de-41f2-abf1-9c04-1b75a78bd3da} - C:\WINDOWS\system32\nsoB.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: addestination browser enhancer - {A1CC39D4-9B61-AA9C-EC72-285BCF919F0E} - C:\WINDOWS\system32\ogmvkeeiovmaxug.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [installnet.exe] "C:\Acer\LANScope Agent\Installnet.exe" "C:\Acer\LANScope Agent\
O4 - HKLM\..\Run: [AdminWorks Tray] "C:\Acer\LANScope Agent\awtray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MmSASCui.exe" -hide
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [UpData] "C:\DOKUME~1\***\LOKALE~1\Temp\svhost3.exe" -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor.lnk = C:\Programme\Hama\Hama Digital Software Suite\Media Card Companion\MCC Monitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h*p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AdminWorks Agent X6 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Acer\LANScope Agent\awServ.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

--
End of file - 7861 bytes

Alt 24.01.2009, 12:26   #2
john.doe
 
Diverse BHO-Trojaner.. - Standard

Diverse BHO-Trojaner..


Hallo und

Arbeite diese Liste ab:

1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme):
Code:
ATTFilter
AdAware (Schrott)
Acrobat Reader (Asbach uralt)
2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\DOKUME~1\***\LOKALE~1\Temp\svhost3.exe
Die Sterne durch deinen Anmeldenamen ersetzen. Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte die Datei sich nicht finden lassen, so mache weiter mit der Liste.

3.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
O2 - BHO: addestination - {27dd47de-41f2-abf1-9c04-1b75a78bd3da} - C:\WINDOWS\system32\nsoB.dll (file missing)
O2 - BHO: addestination browser enhancer - {A1CC39D4-9B61-AA9C-EC72-285BCF919F0E} - C:\WINDOWS\system32\ogmvkeeiovmaxug.dll (file missing)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [UpData] "C:\DOKUME~1\***\LOKALE~1\Temp\svhost3.exe" -hide
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
=> Fix checked

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

5.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

6.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas
__________________
Alt 24.01.2009, 12:38   #3
wullxz
 
Diverse BHO-Trojaner.. - Standard

Diverse BHO-Trojaner..


Vielen dank für die schnelle Antwort.

ein paar von den HJT-Punkten habe ich schon entfernt. (BHO addestination)
Ich werde deine Liste mal abarbeiten und melde mich wieder

Hier, das was VirusTotal zu svchost3.exe rausgefunden hat:

Code:
ATTFilter
Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 5.0.0.2 2009.01.24 Win-Trojan/Agent.94208.EB 
AVG 8.0.0.229 2009.01.23 Agent.KTH 
BitDefender 7.2 2009.01.24 Trojan.Generic.246372 
ClamAV 0.94.1 2009.01.24 Trojan.Agent-9706 
DrWeb 4.44.0.09170 2009.01.24 - 
eSafe 7.0.17.0 2009.01.22 Suspicious File 
F-Secure 8.0.14470.0 2009.01.24 Trojan.Win32.Agent.cws 
GData 19 2009.01.24 Trojan.Generic.246372 
Kaspersky 7.0.0.125 2009.01.24 Trojan.Win32.Agent.cws 
Microsoft 1.4205 2009.01.24 Trojan:Win32/Agent.PU 
Norman 5.93.01 2009.01.23 W32/Agent.DJWW 
nProtect 2009.1.8.0 2009.01.23 Trojan/W32.Agent.70736 
Panda 9.5.1.2 2009.01.24 Trj/Agent.HFS 
PCTools 4.4.2.0 2009.01.24 - 
Prevx1 V2 2009.01.24 Malicious Software 
SecureWeb-Gateway 6.7.6 2009.01.24 - 
Sophos 4.37.0 2009.01.24 - 
Symantec 10 2009.01.24 Infostealer 
VBA32 3.12.8.11 2009.01.23 Trojan.Win32.Agent.cws 
weitere Informationen 
File size: 45616 bytes 
MD5...: f77aeb06511eacba41b3d7d6581fd825 
SHA1..: a05e9d00e8f9cb61c975ac738613c99c7183a822 
SHA256: 2e76cb2c1d8e858ce4e47860bad39454357abe3830d82f3e737ac536b0616290 
SHA512: 309d1d4676043b30c47982037eb9fd8e5dda58ebe090868029bba706b09becba
d099030e2fcdc7927856e04f9a597a8919814f63ea9bff3ff13ca0db6bffd8ec
 
ssdeep: 768:XN+HOaMDsvEpSs50uNJ/lIAwPbE66FFT/87V7qqvk0HY1sP+nx:uOaP0Su5I
dbE66FFr8J7/P41sP+x
 
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser 
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41b440
timedatestamp.....: 0x471e1e9f (Tue Oct 23 16:17:35 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x12000 0xa000 0x9600 7.90 182014ed14d7019b8d3138f3dcce87d0
.rsrc 0x1c000 0x2000 0x1800 4.68 728ad25ceb5126cda5d56c454f52f72b

( 9 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> GDI32.dll: TextOutA
> iphlpapi.dll: GetIpForwardTable
> ole32.dll: CreateStreamOnHGlobal
> OLEAUT32.dll: -
> SHELL32.dll: ShellExecuteExA
> USER32.dll: GetDC
> WSOCK32.dll: -

( 0 exports ) 
 
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=3798AEC630728163B23800B5BD5B3700B4D0BC6C' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=3798AEC630728163B23800B5BD5B3700B4D0BC6C</a> 
packers (Kaspersky): UPX
Die Überprüfung ist noch nicht fertig, aber ich glaube, es sind genug Informationen.
Es hat sich auch seit mehreren Minuten nichts mehr getan.
__________________
Geändert von wullxz (24.01.2009 um 12:58 Uhr)

Alt 24.01.2009, 13:05   #4
john.doe
 
Diverse BHO-Trojaner.. - Standard

Diverse BHO-Trojaner..


Zitat:
aber ich glaube, es sind genug Informationen.

Alt 24.01.2009, 13:32   #5
wullxz
 
Diverse BHO-Trojaner.. - Standard

Diverse BHO-Trojaner..


btw: Danke für das Willkommen
Hab ich eben überlesen

Also:
Blacklight hat nichts gefunden.
Malwarebytes ist noch dran und hat bisher noch nichts gefunden (Spybot eben auch schon nicht mehr).

Die hijackthis.exe ist nicht auffindbar
Gibt es für diese noch eine andere Quelle?


Alt 24.01.2009, 13:39   #6
john.doe
 
Diverse BHO-Trojaner.. - Standard

Diverse BHO-Trojaner..


Zitat:
Spybot eben auch schon nicht mehr.
Spybot gleich wieder deinstallieren.
Zitat:
Die hijackthis.exe ist nicht auffindbar.
root24 ist wohl (zu Recht) sauer . Nimm das normale.

ciao, andreas

Alt 24.01.2009, 13:45   #7
wullxz
 
Diverse BHO-Trojaner.. - Standard

Diverse BHO-Trojaner..


Hm... du hälst wohl nichts von Spybot, hm?
Was kannst du mir denn für Antiviren / Antispywareprogramme empfehlen?

Malwarebytes ist jetzt fertig und hat nichts gefunden:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1688
Windows 5.1.2600 Service Pack 3

24.01.2009 13:42:30
mbam-log-2009-01-24 (13-42-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 96360
Laufzeit: 21 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Superantispyware ist jetzt noch am durchlaufen.

Danach noch Hijackthis...

Was passiert mit der svchost3.exe?

Alt 24.01.2009, 14:03   #8
john.doe
 
Diverse BHO-Trojaner.. - Standard

Diverse BHO-Trojaner..


Zitat:
Hm... du hälst wohl nichts von Spybot, hm?
Benutze die Forensuche und suche nach Spybot. Entweder er findet die aktuellen erst gar nicht oder er findet etwas, kann es aber nicht entfernen oder der TeaTimer stört unsere Säuberungsversuche => Schädlich.
Zitat:
Was kannst du mir denn für Antiviren / Antispywareprogramme empfehlen?
Kein Rattengift zu essen => Homepage von Malte J. Wetz
Denn dann brauchst du die Programme erst gar nicht.
Zitat:
Was passiert mit der svchost3.exe?
Rattengift ist solange ungefährlich, solange du es nicht isst (das Programm nicht startest).

Da das Post noch greifbar ist:
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\DOKUME~1\***\LOKALE~1\Temp\svhost3.exe
Die Sterne durch deinen Anmeldenamen ersetzen.

  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Alternativ kannst du die Datenträgerbereinigung von Windows nutzen (sollte sowieso öfter erfolgen) oder den http://www.trojaner-board.de/51464-a...-ccleaner.html starten.

ciao, andreas

Alt 24.01.2009, 14:24   #9
wullxz
 
Diverse BHO-Trojaner.. - Standard

Diverse BHO-Trojaner..


Neustart erledigt und nochmal HJT scannen gelassen:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:46, on 24.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\LANScope Agent\awtray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Hama\Hama Digital Software Suite\Media Card Companion\MCC Monitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.schalke04.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h**p://de.yahoo.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [installnet.exe] "C:\Acer\LANScope Agent\Installnet.exe" "C:\Acer\LANScope Agent\
O4 - HKLM\..\Run: [AdminWorks Tray] "C:\Acer\LANScope Agent\awtray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MmSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Monitor.lnk = C:\Programme\Hama\Hama Digital Software Suite\Media Card Companion\MCC Monitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

--
End of file - 6219 bytes
Ist jetzt alles in Ordnung, oder?

Zum Antivirenprogramm:
Ich hab selbst auch noch keins drauf, weil ich zu faul bin.
Das hier ist aber nicht mein PC

Außerdem könnte es, wenn es ganz ungünstig kommt, ja auch sein, dass populäre Seiten wie wer-kennt-wen oder andere gehackt und als Malwareschleuder missbraucht werden... oder?

Edit: Superantispyware hat auch nichts gefunden.

Alt 24.01.2009, 14:37   #10
john.doe
 
Diverse BHO-Trojaner.. - Standard

Diverse BHO-Trojaner..


Zitat:
Ist jetzt alles in Ordnung, oder?
Das musst du mir sagen. Das Log ist sauber, das muss aber nichts heissen. Gibt es noch Auffälligkeiten?
Zitat:
Das hier ist aber nicht mein PC
Mein Reden: Ist doch nicht so schlimm, ist doch nicht mein Rechner.
Zitat:
Außerdem könnte es, wenn es ganz ungünstig kommt, ja auch sein, dass populäre Seiten wie wer-kennt-wen oder andere gehackt und als Malwareschleuder missbraucht werden... oder?
Kommt in letzter Zeit leider häufiger vor, befällt aber nur den MSIE (ich nutze Opera ). Wer mit MSIE surft, ist selber Schuld.

ciao, andreas

Alt 24.01.2009, 14:40   #11
wullxz
 
Diverse BHO-Trojaner.. - Standard

Diverse BHO-Trojaner..


Zitat:
Zitat von john.doe Beitrag anzeigen
Kommt in letzter Zeit leider häufiger vor, befällt aber nur den MSIE (ich nutze Opera ). Wer mit MSIE surft, ist selber Schuld.

ciao, andreas

Ich selbst nutze den MSIE auch nur, wenn ichs eilig habe. Der startet einfach schneller als der Firefox mit seinen Tabs, die immer offen sind und den Addons
Mittlerweile tendiere ich aber zum Google Chrome

Auffälligkeiten gibt es nicht mehr. Ich werde dem Besitzer jetzt noch sagen, er soll in den nächsten Tagen mehrmals scannen und erstmal kein Onlinebanking oder ähnliches betreiben. Sicher ist sicher

Antwort

Themen zu Diverse BHO-Trojaner..
ad-aware, ad-watch, adobe, antivir, antivirus, avg, avira, bho, browser, defender, excel, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, object, plug-in, pop-up-blocker, rundll, software, svhost, symantec, system, temp, trojaner, viren, windows, windows defender, windows xp


« kein zugriff auf Festplatte möglich | Trojan.Keylogger.Hatkeys.M04.A2 »


Ähnliche Themen: Diverse BHO-Trojaner..


  1. diverse Trojaner / Backdoor.agents
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (41)
  2. diverse Trojaner entdeckt
    Plagegeister aller Art und deren Bekämpfung - 13.09.2012 (9)
  3. Diverse Trojaner ?
    Log-Analyse und Auswertung - 17.07.2012 (31)
  4. Diverse Trojaner entdeckt
    Log-Analyse und Auswertung - 29.05.2012 (6)
  5. Diverse Viren und Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.04.2012 (1)
  6. diverse Trojaner(u.a. Bundespolizei)
    Log-Analyse und Auswertung - 12.04.2012 (25)
  7. Verseuchter PC (diverse Trojaner?)
    Log-Analyse und Auswertung - 20.01.2011 (22)
  8. diverse Trojaner vorhanden.
    Plagegeister aller Art und deren Bekämpfung - 27.09.2010 (13)
  9. Goldun und diverse andere Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.09.2009 (16)
  10. diverse Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.08.2009 (5)
  11. Diverse Trojaner und svchost fehler
    Log-Analyse und Auswertung - 12.06.2009 (2)
  12. Diverse Viren / Trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 28.07.2007 (1)
  13. Diverse Viren und Trojaner
    Log-Analyse und Auswertung - 26.08.2006 (1)
  14. Diverse Probleme = Trojaner?!
    Log-Analyse und Auswertung - 24.05.2006 (5)
  15. diverse Trojaner + Popups - HILFE!!
    Log-Analyse und Auswertung - 09.06.2005 (5)
  16. Diverse Würmer und Trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.02.2005 (1)
  17. diverse Trojaner
    Log-Analyse und Auswertung - 23.06.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Diverse BHO-Trojaner.. - Hi, hier sind diverse Viren / Trojaner drauf. Ich habe schon ein paar Programme deinstalliert, die hier unbekannt installiert waren... Was ist hier noch zu tun? Logfile of Trend Micro - Diverse BHO-Trojaner.....
Archiv
Du betrachtest: Diverse BHO-Trojaner.. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131