Trojaner-Board - Nach jedem Neustart sind sie wieder da !?!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Nach jedem Neustart sind sie wieder da !?! (https://www.trojaner-board.de/27506-neustart.html)

Nach jedem Neustart sind sie wieder da !?!

Hallo Leute,

seit einiger Zeit beobachte ich folgendes Schauspiel,
Adaware Scan --> 13 Objekte gefunden --> Objekte werden gelöscht
--> neustart --> Adaware Scan --> 13 Objekte gefunden

Hmmm

Also irgendwas tut die spyware etc. immer wieder installieren!

Nur was?

Hier mein HTJ-Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 18:05:03, on 12.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfTray.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\cFos 2.13\cFosSpeed.exe
D:\cFos 2.13\spd.exe
D:\Xfire\Xfire.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfService.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfAgent.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\GetRight\xx2gr.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\Personal Firewall\MpfTray.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [cFosSpeed] D:\cFos 2.13\cFosSpeed.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Startup: Verknüpfung mit Xfire.lnk = D:\Xfire\Xfire.exe
O8 - Extra context menu item: Download with GetRight - D:\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\GetRight\GRbrowse.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office03\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC989894-5205-488D-9256-F14DBF4020E2}: NameServer = 192.168.0.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\cFos 2.13\spd.exe" -service (file missing)
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\CTsvcCDA.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\Personal Firewall\MpfService.exe
O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - D:\Benchmarks\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Vieleicht könnt ihr mir ja helfen!

THX im Vorraus für eure Hilfe! :party:

Ciao

ALI_G

eScan sagt folgendes:

Zitat:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Mar 12 18:54:02 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:54:02 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:54:05 2006 => System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:54:05 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:56:52 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:56:52 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:56:54 2006 => System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:56:54 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Mar 12 18:54:05 2006 => Offending file found: C:\Dokumente und Einstellungen\NooB\Favoriten\shop`s\shopping\amazon.url
Sun Mar 12 18:54:05 2006 => Offending file found: C:\Dokumente und Einstellungen\NooB\Favoriten\shop`s\shopping\ebay.url
Sun Mar 12 18:54:07 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Dokumente\monolith productions\fear\save
Sun Mar 12 18:56:54 2006 => Offending file found: C:\Dokumente und Einstellungen\NooB\Favoriten\shop`s\shopping\amazon.url
Sun Mar 12 18:56:54 2006 => Offending file found: C:\Dokumente und Einstellungen\NooB\Favoriten\shop`s\shopping\ebay.url
Sun Mar 12 18:56:55 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Dokumente\monolith productions\fear\save

Hallo,

die eScan Meldung sind false postives.
Welche Meldung gibt Dir den AdAware und kannst Du an Deinem Rechner irgendwelche Aufmerksamkeiten feststellen?

Gruß

Schrulli

Zitat:

Zitat von Schrulli

Hallo,

die eScan Meldung sind false postives.
Welche Meldung gibt Dir den AdAware und kannst Du an Deinem Rechner irgendwelche Aufmerksamkeiten feststellen?

Gruß

Schrulli

Hallo Schrulli,

also false postitives sind Dateien die zu Unrecht als Viren erkannt werden!

Richtig?

Aufmerksamkeiten:

Beim Runterfahren kann er öfters irgendeinen net.***-Dienst nicht richtig beenden.
Und Tuneup-Utilities findet nach jedem Neustart immer genau 1MB Temporäre-Internetfiles.
Und die meisten Sachen findet Adaware immer im Browsercache.

Was es genau findet schreibe ich heute abend, wenn ich wieder daheim bin.

Ciao

ALI_G

So Adaware sagt folgendes:

Zitat:

13.03.2006 21:47:28 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\NooB\recent
Description :

MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\microsoft\direct3d\mostrecentapplication
Description :

MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description :

MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\microsoft\direct3d\mostrecentapplication
Description :

MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description :

MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description :

MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\microsoft\directinput\mostrecentapplication
Description :

MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\microsoft\directinput\mostrecentapplication
Description :

MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\microsoft\internet explorer
Description :

MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\winrar\dialogedithistory\extrpath
Description :

Hallo ???

Kann mir keiner weiterhelfen?

Hallo,
immmer schön ruhig bleiben, wir helfen hier alle nur in unserer Freizeit, da kann es schon mal passieren das ein thread durchrutscht, ein einfaches push hätte genügt.
Zum Thema, das sind alles nur Listeneinträghe die Adaware da findet, diese stellen nur ein Risiko da falls sie ausgesesen würden könnte man nachvollziehen welche Filme oder Programme aufgerufen wurden.
Also das ganze ist ziemlich harmlos, es gibt auch die Option sich die einträge nicht anzeigen zu lassen, weiß jetzt aber aus dem Stehgreiff nicht mehr wo, aber da sollte entweder die Programmhilfe oder google weiterhelfen.

Grüße Wildone

Zitat:

Zitat von Wildone

THX für deine Antwort, das wollte ich wissen!