Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   bitte um hilfe: 2 mal IEXPLORER im taskmanager (https://www.trojaner-board.de/55417-bitte-um-hilfe-2-mal-iexplorer-taskmanager.html)

k-ibo 05.07.2008 17:15
bitte um hilfe: 2 mal IEXPLORER im taskmanager
 
wenn ich gucke welche prozesse im task-manager laufen fällt mir sofort auf dass mein pc 2 mal IEXPLORER.EXE am laufen hat
der eine lastet 85 mb und der andere 3mb speicher aus
obwohl ich mit firefox surfe kriege ich werbungen mit dem Internet Explorer (sogar wenn ich mit dem internet nichts zu tun habe kommen werbungen)
sie fangen alle mit "CiD:" an
wenn ich im task manager eine davon lösche kommt sofort ein anderer mit steigendem mb
wenn ich alle beide lösche kommen sie in ungefähr 10-20 minuten wieder
manchmal wenn ich mit firefox surfe steigt der speicherauslastung von firefox über 200 mb
aber der unterschied ist dass ich immer wenn ich mein pc einschalte IEXPLORER.EXE sich automatisch öffnet und im hintergrund läuft
bei firefox ist es nicht so
woran könnte es liegen? wie könnte ich das problem beheben? obwol ich hier auf der site rumgesurft und gegoogled habe konnte ich das problem nicht beheben
könntet ihr mir mal hilflich sein bitte??

Lucky 05.07.2008 18:24
:hallo:
Erzeuge bitte ein HijackThis Logfile und poste es hier.

k-ibo 06.07.2008 11:33
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:33:14, on 06.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\A.Tepe\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [Army Bleh] C:\DOKUME~1\A3EAA~1.TEP\ANWEND~1\AXISMA~1\HeartFrag.exe
O4 - HKLM\..\Policies\Explorer\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

--
End of file - 3269 bytes

Lucky 06.07.2008 11:47
Zitat:
Zitat von k-ibo (Beitrag 351939)
C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [Army Bleh] C:\DOKUME~1\A3EAA~1.TEP\ANWEND~1\AXISMA~1\HeartFrag.exe
O4 - HKLM\..\Policies\Explorer\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
Diese Sachen bitte fixen.
Lass bitte einmal MalwareBytes über das System

Navilog lasse bitte auch einmal über das System laufen.

Zitat:
Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt deaktiviere daher zuerst den Hintergrundwächter deines Antivirenprogramms

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.
(Anleitung von Myrtille)
Zitat:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
Der dick markierte Teil ist schädlich und müsste weg, vielleicht hat ein anderer Helfer ein Tool was das macht. Mir ist nur der Weg über editieren der Datei bekannt und das würde ich nur ungerne empfehlen.

k-ibo 06.07.2008 12:15
Liste der Anhänge anzeigen (Anzahl: 1)
als ich die dateien fixen wollte kam diese meldung (siehe: anhänge)
die datei "C:\WINDOWS\svchost.exe" stand überhaupt nicht in edr liste die aneren 5 konnte ich fixen
was sollte ich tun damit ich die auch fixen kann?

Lucky 06.07.2008 12:22
Hast du Novell Netware auf dem System?

k-ibo 06.07.2008 12:27
Liste der Anhänge anzeigen (Anzahl: 1)
da steht irgendwie no problems found.
edit: Nowell Netware!? habe ich nicht

Lucky 06.07.2008 12:32
Das Tool sieht ok aus. Hast du mal die anderen von mir vorhin geschriebenen Tipps befolgt?

k-ibo 06.07.2008 12:45
ich konnte alle dateien fixen
aber die datei svchost im system 32 konnte ich nicht löschen
soll ich jetzt mit malwarebytes und navilog weiter machen?
oder muss ich die datei svchost unbedingt vorher löschen?

joergfries 06.07.2008 12:57
kurz einmisch:

Du musst aufpassen ob svchost oder scvhost gemeint ist! Das ist ein kleiner, aber sehr feiner Unterschied!

k-ibo 06.07.2008 13:06
ow ich habe die beiden dateien verwechselt
habe dannach im ordner system 32 nachgeguckt und hab die datei scvhost nicht gefunden und hab mit malwarebytes weitergemacht
78 infiziwerten objekte wurden gefunden

Lucky 06.07.2008 13:08
Die Logs bitte hier posten, aber vorher private Sachen aus dem Log mit *** unleserlich machen.

k-ibo 06.07.2008 13:13
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 899
Windows 5.1.2600 Service Pack 2

14:09:17 06.07.2008
mbam-log-7-6-2008 (14-09-13).txt

Scan Art: Schnell Scan
Objekte gescannt: 43003
Scan Dauer: 8 minute(s), 11 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 33
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 3
Infizierte Verzeichnisse: 18
Infizierte Dateien: 20

Infizierte Speicher Prozesse:
C:\WINDOWS\svchost.exe (Trojan.Agent) -> No action taken.

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\n.cs4 (BackDoor.Ciadoor) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e14dce67-8fb7-4721-8149-179baa4d792c} (BackDoor.Ciadoor) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{0958c4c9-77b0-4aa8-9364-7886bfca7e39} (BackDoor.Ciadoor) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c9f1c5a0-f3d8-48e2-8b8c-3e86b4cac7e3} (BackDoor.Ciadoor) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebutton (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebutton.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c9ccbb35-d123-4a31-affc-9b2933132116} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a16ad1e9-f69a-45af-9462-b1c286708842} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbax (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbax.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{20ea9658-6bc3-4599-a87d-6371fe9295fc} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8ad9ad05-36be-4e40-ba62-5422eb0d02fb} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{aebf09e2-0c15-43c8-99bf-928c645d98a0} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{d8560ac2-21b5-4c1a-bdd4-bd12bc83b082} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{cdca70d8-c6a6-49ee-9bed-7429d6c477a2} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{d136987f-e1c4-4ccc-a220-893df03ec5df} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{e343edfc-1e6c-4cb5-aa29-e9c922641c80} (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.
\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shoppingreport (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\powermanager (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\powermanager (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\powermanager (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ShoppingReport (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.Shopping.Report) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\ntos.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,) Good: (userinit.exe) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD (Hijack.CMDPrompt) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\A.Tepe\Anwendungsdaten\ShoppingReport (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\db (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\dwld (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\report (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\res2 (Adware.Shopping.Report) -> No action taken.
C:\Programme\ShoppingReport (Adware.Shopping.Report) -> No action taken.
C:\Programme\ShoppingReport\Bin (Adware.Shopping.Report) -> No action taken.
C:\Programme\ShoppingReport\Bin\2.5.0 (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Loader (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Loader\4665 (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Publisher (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Publisher\4665 (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Updater (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\wsock32.sys (BackDoor.Ciadoor) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\Config.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\res2\WhiteList.dbs (Adware.Shopping.Report) -> No action taken.
C:\Programme\ShoppingReport\Uninst.exe (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Uninstall.exe (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Loader\4665\npvideoegg-loader.dll (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Updater\updater.exe (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Updater\VideoEggBroker.exe (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\svchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ntos.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\addon.dat (Malware.Trace) -> No action taken.

Lucky 06.07.2008 13:14
Mach bei MalwareBytes bitte dringend ein Update und scanne erneut!
Danach lade dir Lavasofts Ad-Aware 2008 (die kostenlose Version reicht) herunter, updaten und einmal über das System scannen/säubern lassen.
Danach wieder einmal MalwareBytes laufen lassen.

Bitte einen vollständigen Scan, keinen schnellen Scan machen!

k-ibo 06.07.2008 13:19
soll ich die logs danach kopieren und iher posten oder sie direkt löschen?

Lucky 06.07.2008 13:20
Löschen und kopieren.

k-ibo 06.07.2008 16:53
hab alles gemacht
und wie läuft es jetzt weiter? hier sind die logs:

Malwarebytes' Anti-Malware 1.19
Datenbank Version: 927
Windows 5.1.2600 Service Pack 2

17:47:27 06.07.2008
mbam-log-7-6-2008 (17-47-23).txt

Scan Art: Komplett Scan (A:\|C:\|D:\|E:\|)
Objekte gescannt: 123912
Scan Dauer: 57 minute(s), 29 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
C:\WINDOWS\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\powermanager (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\powermanager (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\svchost.exe (Trojan.Agent) -> No action taken.

Lucky 06.07.2008 18:20
MalwareBytes sollte eigentlich immer Fragen was du mit den gefundenen Sachen machen willst, oder? Du solltest die direkt löschen lassen, aufjedenfall sauberer wie vorher. :)

k-ibo 06.07.2008 18:21
jap das hab ich ebengrad gemacht :D
jetzt siehts so aus

Malwarebytes' Anti-Malware 1.19
Datenbank Version: 927
Windows 5.1.2600 Service Pack 2

19:17:18 06.07.2008
mbam-log-7-6-2008 (19-17-18).txt

Scan Art: Komplett Scan (A:\|C:\|D:\|E:\|)
Objekte gescannt: 123912
Scan Dauer: 57 minute(s), 29 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
C:\WINDOWS\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\powermanager (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\powermanager (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

k-ibo 06.07.2008 18:29
jetzt sieht es zwar sauber aus aber im taskmanager habe ich immernoch 2 iexplorer dateien?!

Lucky 06.07.2008 18:31
Dann mach bitte nochmal ein Scan mit navilog, hatte ich auf Seite 1 schon angesprochen. Malwarebytes nochmal laufen lassen und HijackThis.

Ansonsten denke ich wird es gut aussehen. Was ich vorhin schon schreiben wollte: deine Java Version ist etwas veraltet. Deinstalliere die Version und lade dir die aktuellste herunter. http://www.java.com/de/

k-ibo 06.07.2008 19:23
im taskmanager sind iwie immernoch 2 mal iexplorer
hier sind die logs:

navilog1: Search Navipromo version 3.6.0 began on 06.07.2008 at 19:33:57,57

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "????"

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1.win\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\A.Tepe\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Standart\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\????\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Standart\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\????\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\Standart\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\????\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Standart\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\????\lokale~1\anwend~1" :


* In "C:\DOKUME~1\Standart\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :


*** Search completed on 06.07.2008 at 20:02:27,48 ***

malwarebytes:
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 927
Windows 5.1.2600 Service Pack 2

21:19:20 06.07.2008
mbam-log-7-6-2008 (21-19-20).txt

Scan Art: Komplett Scan (A:\|C:\|D:\|E:\|)
Objekte gescannt: 124226
Scan Dauer: 1 hour(s), 0 minute(s), 57 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:43, on 06.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\A.Tepe\Desktop\HiJackThis.exe
C:\WINDOWS\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [Army Bleh] C:\DOKUME~1\A3EAA~1.TEP\ANWEND~1\AXISMA~1\HeartFrag.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

--
End of file - 2784 bytes

Lucky 06.07.2008 20:51
Weißt du wie man mit sysedit und dem Taskmanager umgeht? Schon mal was in der Richtung gemacht?

k-ibo 06.07.2008 21:00
ow tut mir leid ich kenne mich damit nicht aus
wenn du es mir vielleicht mal beschrieben würdest was das ist wie das geht könnte ichs versuchen
(omg jetzt sinds 3 geworden :((( )

KarlKarl 06.07.2008 21:25
Hi,

ein System das von mehreren B ackdoors beherrscht wird. Mal sehen was Microsoft über diesen Fall schreibt: Microsoft.

Die Kur gegen Navipromo wird gegen Swizzor kaum helfen können. Da hilft nur formatieren und neu installieren.

Gruß, Karl

k-ibo 06.07.2008 22:00
eigentlich will ich mein pc nicht formatiern
bei uns zuhause benutzen noch 4 andere das pc
hab mein pc jetzt zum 10. mal neu gestartet
es kam wie immer eine nachricht dass scvhost keine zulässige datei ist
ich wollte es löschen konnte die datei nicht finden
ich wollte die datei im regedit suchen, konnte dort 2 scvhost dateien finden und diese löschen
danach habe ich mein pc neugestartet und mir internet explorer 7 installiert
bis jetzt sind weder die beiden iexplorer dateien noch die CiD popups aufgetauch
hoffe die kommen nicht wieder :D:D


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131