Hallo,
bin neu hier und zufällig bei der Suche nach einer Lösung für mein Problem auf dieses Forum hier getroffen.

Mein Antivir hat gestern Abend Alarm geschlagen.

Directupload.net - Dihohapui.jpg

Nachdem ich einiges gelesen habe über fakealter, möchte ich nun mein HijackThis Log-File posten um von jemanden Hilfe zu bekommen.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 18:38:55, on 18.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Cobian Backup 9\cbInterface.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Cobian Backup 9\cbService.exe
C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Cobian Backup 9 interface] "C:\Programme\Cobian Backup 9\cbInterface.exe" -service
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Launchy.lnk = C:\Programme\Launchy\Launchy.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cobian Backup 9 Dienst (CobianBackupAmanita) - Luis Cobian - C:\Programme\Cobian Backup 9\cbService.exe
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
         

Hoffe das ich bisher alles richtig gemacht habe, und jemand kann mir helfen!!!

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo,
sorry war gestern Abend wohl bisschen zu übereifrig und habe erst gepostet und dann genau gelesen.
Bin ich schon dabei die Liste abzuarbeiten. CC habe ich erledigt (hatte ich vorher schon installiert)
Am Mailwarebytes bin ich gerade dran. (Dauert schon ne ganz schön lange Zeit....Normal?)
Wenn ich RSIT ausgefürht habe werde ich die Logs auf der voon dir vorgeschlagenen Seite einstellen.

Danke schonmal vorab für deine freundliche Begrüßung und deine Hilfe

P.S. Kann ich meinen Artikel von gestern nicht editieren?

So da bin ich wieder.

Hier schon mal der Log von MT: hxxp://www.file-upload.net/download-2360803/mbam-log-2010-03-19--19-12-59-.txt.html

nun die info.txt von RSIT: hxxp://www.file-upload.net/download-2360822/info.txt.html
und die log.txt von RSIT: hxxp://www.file-upload.net/download-2360829/log.txt.html

Hoffe nun habe ich alles richtig gemacht?!?

Nein, zum Edit hat man nur ne Stunde Zeit

Ja so ein Ärger
Dafür habe ich nun die Logs schon upgeloadet

Hoffe das es nun passt!

Die Logs sind sauber. Noch Meldungen oder Probleme gewesen? Oder alles gut?
Mach zur Sicherheit bitte noch ein Log mit GMER und poste es (kannst hier direkt in den Beitrag ohne den file-upload.net Umweg posten)

Hallo,
Danke erstmal für deine Hilfe. Nein momentan scheint alles i.O. zu sein.

Hier noch der GMER log: GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-20 10:14:42
Windows 5.1.2600 Service Pack 3
Running: hlp6xfjt.exe; Driver: C:\DOKUME~1\Jan\LOKALE~1\Temp\pxlyiuoc.sys


---- System - GMER 1.0.15 ----

SSDT BA592376 ZwCreateKey
SSDT BA59236C ZwCreateThread
SSDT BA59237B ZwDeleteKey
SSDT BA592385 ZwDeleteValueKey
SSDT BA59238A ZwLoadKey
SSDT BA592358 ZwOpenProcess
SSDT BA59235D ZwOpenThread
SSDT BA592394 ZwReplaceKey
SSDT BA59238F ZwRestoreKey
SSDT BA592380 ZwSetValueKey
SSDT BA592367 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 148 804E27B4 2 Bytes [7B, 23] {JNP 0x25}
.text ntoskrnl.exe!_abnormal_termination + 14B 804E27B7 1 Byte [BA]
.text ntoskrnl.exe!_abnormal_termination + 150 804E27BC 2 Bytes [85, 23] {TEST [EBX], ESP}
.text ntoskrnl.exe!_abnormal_termination + 153 804E27BF 1 Byte [BA]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Hoffe das stimmt so

Das sieht auch unauffällig aus

Hallo,
vielen Dank für deine schnelle Hilfe.

Die Seite ist wirklich Gold wert. Ich werde ordentlich Werbung für das Trojaner Board machen.

Schönen Sonntag,
Helmlinger

Sehr schön! Dann prüf mal jetzt die (wichtigsten) Updates, wenn wieder alles ok ist:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Cosinus,
Werde die besagten Updates noch machen. Und versuchen auf dem neuesten Stand zu bleiben.

Vielen Dank an dich für die kompetente und schnelle Hilfe. Hoffe ich brauche dich nie mehr. Aber wenn doch, dann melde ich mich wieder auf diesem Wege.

So long!

--------------------------------------------------------------

It's not the gun, it's the man behind!