Trojaner-Board - Hilfe!Malware oder so! HiJackThis-Bericht

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe!Malware oder so! HiJackThis-Bericht (https://www.trojaner-board.de/40564-hilfe-malware-so-hijackthis-bericht.html)

Hilfe!Malware oder so! HiJackThis-Bericht

Hallo ich bräuchte mal eure Hilfe!Und zwar hab ich seit gestern werbung aufen Desktop mit integrierten Link!ungefähr 3 verschiedene Icons aufen Desktop über irgendwelche AntiVir-Software oder Anti-Spyware!Ständig kommt so eine gekünstelte Fehlermeldung, dass mein System ja total im Arsch wäre und werd dann immer mit dem scheiß Internet Explorer verbunden, auch ohne im Internet zu sein!Außerdem benutze ich den Internet Explorer ja gar nicht!Muss wohl wieder eine Sicherheitslücke im scheiß Internet Explorer sein.Ich kann kein Film mehr schauen oder so, da alle 3 Minuten der scheiß auftaucht!Der PC müsste zu sein mit Malware!Geb euch hier noch den Bericht dazu!Mir persönlich sagt er nichts und ich weiß auch nicht, was ich da ohne Folgen löschen kann!Danke für eure Hilfe!Hoffe ihr antwortet schnell!

Logfile of HijackThis v1.99.1
Scan saved at 15:08:53, on 03.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\WINDOWS\explorer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.875\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomyron.com/NjU2NA==/2/3560/homepage/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.usenext.de/index.cfm?TD=383878
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {100B21CD-3B97-44FB-B1C0-EA6249E482E8} - C:\WINDOWS\ddesupport.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D1548A26-B8F6-4E86-AE74-E7062CCC2E2A} (igLoader Content on Demand) - http://www.miniclip.com/igloader/igloader.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{955E7207-C3F8-4A96-8ED1-3BB7087733C4}: NameServer = 217.237.149.205 217.237.151.51
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: msole - {751ED8F2-9698-42CC-9D89-0D555B535BB9} - C:\WINDOWS\msole.dll
O21 - SSODL: msdde - {3DCE83FE-9213-4321-931F-69A0DEED1FCC} - C:\WINDOWS\msdde.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

Ich befürchte, du wirst dein System neu aufsetzen müssen. Werte aber unten aufgelistete Dateien noch vorher bei Virustotal oder Jotti aus und poste sämtliche Angaben inkl. Prüfsummen (md5) und Dateigröße, auch wenn kein Virus gefunden wurde.

C:\WINDOWS\ddesupport.dll
C:\WINDOWS\avp.exe
mgrs.exe
C:\WINDOWS\msole.dll
C:\WINDOWS\msdde.dll

Die Datei mgrs.exe musst du ausfindig machen, ich vermute die steckt im Windows- oder im System32-Ordner.

WIe finde ich diese mgrs.exe?ich such ja schon, kann die in jedem ordner im Windowsordner oder system32ordner sein?da kann man sich ja tot suchen!

anders werde ich den mist nicht los?

und die anderen roten dateien, die du aufgeschrieben hast, sind auch sehr gefährlich?also muss ich die auch löschen!??

danke für deine hilfe

Zitat:

WIe finde ich diese mgrs.exe?ich such ja schon, kann die in jedem ordner im Windowsordner oder system32ordner sein?da kann man sich ja tot suchen!

Ich vermute, dass die im Windows- oder im System32-Ordner steckt, da schreiben sich die meisten Viecher rein. Muss aber nicht sein, benutze daher die Windows-Dateisuche.

Zitat:

anders werde ich den mist nicht los?

Nein, jedenfalls nicht sicher. Eine Bereinigung ist zu unsicher, da
1. niemand sich sicher sein kann, dass alle Schädlinge gefunden werden
2. niemand weiß, ob und wenn ja welche Systemdateien manipuliert worden sind.

Zitat:

und die anderen roten dateien, die du aufgeschrieben hast, sind auch sehr gefährlich?also muss ich die auch löschen!??

Ruhig Brauner! :)
Werte diese Dateien bitte wie schon erwähnt erst bei Jotti oder Virustotal aus.

ich schätze, ich habe die datei oder?

---> MGRS.EXE-34C3510A.pf

ich werte die jetzt nochmal aus, wie du gesagt hast ^^!

Zitat:

---> MGRS.EXE-34C3510A.pf

Nein, das ist die dazugehörige Prefetch-Datei - werte erstmal die anderen Dateien aus, wenn du mgrs.exe nicht findest.

ich kann mit der suchfunktion schon gar nicht mehr suchen, die explorer.exe stürzt dann immer kurzzeitig ab!

ich kann mit der suchfunktion schon gar nicht mehr suchen, die explorer.exe stürzt dann immer kurzzeitig ab!eben gings aber noch

Reit nicht zu sehr auf die mgrs.exe rum - werte erstmal die anderen Dateien aus...
Edit: Vermutlich handelt es sich bei der mgrs.exe um diesen hier...

Datei: msdde.dll
Auslastung: 0% 100%

Status: VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme: -
Bit9 rapportiert: File not found

A-Squared Keine Viren gefunden
AntiVir TR/BHO.NXM gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.BHO.NXM gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

hier der nächste, aber esstehen nirgendswo die filegrößen und so nach der analyse, die wolltest du doch auch!

Datei: msole.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: Bitte warten...
Bit9 rapportiert: File not found

A-Squared Keine Viren gefunden
AntiVir TR/BHO.NXM.1 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.BHO.NXM gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Scanning, bitte warten...
VBA32 Scanning, bitte warten...

Zitat:

aber esstehen nirgendswo die filegrößen und so nach der analyse, die wolltest du doch auch!

Warte bitte ab, bis der Scan vollständig ist, dann stehen oben auch die Infos...

msdde.dll und msole.dll konnte ich irgendwie mit antivir löschen!die komischen 3 icons auf dem desktop sind auch verschwunden.es kommt keine meldung mehr, dass mein system im arsch ist und ich werde nicht mehr mit dem internet explorer verbunden!:party:

mgrs.exe und avp.exe kann ich nicht finden! :pfui:

ddesupport.dll hatte ich gefunden und auch irgendwie mit antivir gelöscht!jetzt kann ich sie auch nicht mehr finden, was ja positiv klingt!

dennnoch spinnt mein desktop ab und zu und wenn ich unter "suchen" eine datei suche, dann bricht die explorer.exe zusammen für ein paar sekunden!

hab noch was im papierkorb, das sich nicht löschen lässt!das sieht auch nicht gut aus!es ist ein ordner, der so lautet:

ZZZ.ZZZZZZZZZZ.ZZ...ZZZZZ.ZZZ.Z.ZZZZZ.ZZZZZZZ :snyper:

Okay, wenn du die Auswertung nicht willst, kann ich nichts machen :nixda:
Ein einfaches Löschen der Dateien reicht definitiv nicht aus, im Übrigen kann man nun dank deiner Löschaktionen, BEVOR du die Dateien ausgewertet hast, definitiv nicht mehr sagen, was dich da befallen hat.

Daher ist m.E. ein Neuaufsetzen angesagt! Folge dem Link neu aufsetzen in meiner Signatur.

BTW, das richtet sich nicht nur gegen dich: Ich bin's hier langsam leid, man kann genauso gut mit einer Wand sprechen :headbang:
Man gibt Hinweise erstmal zur Auswertung, damit die User das erfolgreich ignorieren und eh auf Gutdünken auf eigene Faust handeln. :(

sorry, ich danke dir für deine hilfe!ich bin es nur langsam leid, jedesmal die karre neu aufzusetzen und in ein paar wochen wieder festzustellen, dass alles für den arsch war, egal welche software man nun hat oder nicht!aber du weißt doch, wie die viren heißen, also weißt du es doch, mit was ich es zu tun habe oder nicht?die berichte waren aber auch fertig und es kam einfach nichts mit filegröße und so!

was hättest du mir geraten, wie ich die viren von meinem pc bekomme?welche programme benutzt du denn?

alle sagen antivir ist so toll!aber ich finde, egal welches programm ich habe, der virus wird ja eh nicht gelöscht, man drückt 1000 mal löschen oder in quarantäne verschieben und man hat 500 mal einunddenselben virus in quarantäne!wenn ich den dann da raus lösche läuft der pc auch nicht besser!naja, jetzt geht er wenigstens wieder, mal schauen wie lange, aber er läuft rund, wenn auch mit kleinen macken!
was soll ich machen, wenn ich mgrs.exe nicht finde?ich meine, ich finde sie ja auch nicht!wie soll ich sie dann entfernen!?

du hattest auch aufgeschrieben avp.exe!das ist ja antivirpersonal!ist jetzt mein ANTIvirenprogramm schon mit viren befallen?!!^^

Freu mich, wenn du zurück schreibst!

MFG
Dynamite

danke dir wirklich sehr!