Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe!Malware oder so! HiJackThis-Bericht (https://www.trojaner-board.de/40564-hilfe-malware-so-hijackthis-bericht.html)

Dynamite 03.07.2007 14:27

Hilfe!Malware oder so! HiJackThis-Bericht
 
Hallo ich bräuchte mal eure Hilfe!Und zwar hab ich seit gestern werbung aufen Desktop mit integrierten Link!ungefähr 3 verschiedene Icons aufen Desktop über irgendwelche AntiVir-Software oder Anti-Spyware!Ständig kommt so eine gekünstelte Fehlermeldung, dass mein System ja total im Arsch wäre und werd dann immer mit dem scheiß Internet Explorer verbunden, auch ohne im Internet zu sein!Außerdem benutze ich den Internet Explorer ja gar nicht!Muss wohl wieder eine Sicherheitslücke im scheiß Internet Explorer sein.Ich kann kein Film mehr schauen oder so, da alle 3 Minuten der scheiß auftaucht!Der PC müsste zu sein mit Malware!Geb euch hier noch den Bericht dazu!Mir persönlich sagt er nichts und ich weiß auch nicht, was ich da ohne Folgen löschen kann!Danke für eure Hilfe!Hoffe ihr antwortet schnell!

Logfile of HijackThis v1.99.1
Scan saved at 15:08:53, on 03.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\WINDOWS\explorer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.875\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomyron.com/NjU2NA==/2/3560/homepage/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.usenext.de/index.cfm?TD=383878
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {100B21CD-3B97-44FB-B1C0-EA6249E482E8} - C:\WINDOWS\ddesupport.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D1548A26-B8F6-4E86-AE74-E7062CCC2E2A} (igLoader Content on Demand) - http://www.miniclip.com/igloader/igloader.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{955E7207-C3F8-4A96-8ED1-3BB7087733C4}: NameServer = 217.237.149.205 217.237.151.51
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: msole - {751ED8F2-9698-42CC-9D89-0D555B535BB9} - C:\WINDOWS\msole.dll
O21 - SSODL: msdde - {3DCE83FE-9213-4321-931F-69A0DEED1FCC} - C:\WINDOWS\msdde.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

cosinus 03.07.2007 14:35

Ich befürchte, du wirst dein System neu aufsetzen müssen. Werte aber unten aufgelistete Dateien noch vorher bei Virustotal oder Jotti aus und poste sämtliche Angaben inkl. Prüfsummen (md5) und Dateigröße, auch wenn kein Virus gefunden wurde.

C:\WINDOWS\ddesupport.dll
C:\WINDOWS\avp.exe
mgrs.exe
C:\WINDOWS\msole.dll
C:\WINDOWS\msdde.dll


Die Datei mgrs.exe musst du ausfindig machen, ich vermute die steckt im Windows- oder im System32-Ordner.

Dynamite 03.07.2007 14:56

WIe finde ich diese mgrs.exe?ich such ja schon, kann die in jedem ordner im Windowsordner oder system32ordner sein?da kann man sich ja tot suchen!

anders werde ich den mist nicht los?

und die anderen roten dateien, die du aufgeschrieben hast, sind auch sehr gefährlich?also muss ich die auch löschen!??

danke für deine hilfe

cosinus 03.07.2007 15:02

Zitat:

WIe finde ich diese mgrs.exe?ich such ja schon, kann die in jedem ordner im Windowsordner oder system32ordner sein?da kann man sich ja tot suchen!
Ich vermute, dass die im Windows- oder im System32-Ordner steckt, da schreiben sich die meisten Viecher rein. Muss aber nicht sein, benutze daher die Windows-Dateisuche.

Zitat:

anders werde ich den mist nicht los?
Nein, jedenfalls nicht sicher. Eine Bereinigung ist zu unsicher, da
1. niemand sich sicher sein kann, dass alle Schädlinge gefunden werden
2. niemand weiß, ob und wenn ja welche Systemdateien manipuliert worden sind.

Zitat:

und die anderen roten dateien, die du aufgeschrieben hast, sind auch sehr gefährlich?also muss ich die auch löschen!??
Ruhig Brauner! :)
Werte diese Dateien bitte wie schon erwähnt erst bei Jotti oder Virustotal aus.

Dynamite 03.07.2007 15:20

ich schätze, ich habe die datei oder?

---> MGRS.EXE-34C3510A.pf



ich werte die jetzt nochmal aus, wie du gesagt hast ^^!

cosinus 03.07.2007 15:22

Zitat:

---> MGRS.EXE-34C3510A.pf
Nein, das ist die dazugehörige Prefetch-Datei - werte erstmal die anderen Dateien aus, wenn du mgrs.exe nicht findest.

Dynamite 03.07.2007 15:30

ich kann mit der suchfunktion schon gar nicht mehr suchen, die explorer.exe stürzt dann immer kurzzeitig ab!

Dynamite 03.07.2007 15:31

ich kann mit der suchfunktion schon gar nicht mehr suchen, die explorer.exe stürzt dann immer kurzzeitig ab!eben gings aber noch

cosinus 03.07.2007 15:35

Reit nicht zu sehr auf die mgrs.exe rum - werte erstmal die anderen Dateien aus...
Edit: Vermutlich handelt es sich bei der mgrs.exe um diesen hier...

Dynamite 03.07.2007 15:40

Datei: msdde.dll
Auslastung: 0% 100%

Status: VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme: -
Bit9 rapportiert: File not found

A-Squared Keine Viren gefunden
AntiVir TR/BHO.NXM gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.BHO.NXM gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Dynamite 03.07.2007 15:46

hier der nächste, aber esstehen nirgendswo die filegrößen und so nach der analyse, die wolltest du doch auch!

Datei: msole.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: Bitte warten...
Bit9 rapportiert: File not found

A-Squared Keine Viren gefunden
AntiVir TR/BHO.NXM.1 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.BHO.NXM gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Scanning, bitte warten...
VBA32 Scanning, bitte warten...

cosinus 03.07.2007 15:55

Zitat:

aber esstehen nirgendswo die filegrößen und so nach der analyse, die wolltest du doch auch!
Warte bitte ab, bis der Scan vollständig ist, dann stehen oben auch die Infos...

Dynamite 03.07.2007 16:37

msdde.dll und msole.dll konnte ich irgendwie mit antivir löschen!die komischen 3 icons auf dem desktop sind auch verschwunden.es kommt keine meldung mehr, dass mein system im arsch ist und ich werde nicht mehr mit dem internet explorer verbunden!:party:

mgrs.exe und avp.exe kann ich nicht finden! :pfui:

ddesupport.dll hatte ich gefunden und auch irgendwie mit antivir gelöscht!jetzt kann ich sie auch nicht mehr finden, was ja positiv klingt!

dennnoch spinnt mein desktop ab und zu und wenn ich unter "suchen" eine datei suche, dann bricht die explorer.exe zusammen für ein paar sekunden!

hab noch was im papierkorb, das sich nicht löschen lässt!das sieht auch nicht gut aus!es ist ein ordner, der so lautet:

ZZZ.ZZZZZZZZZZ.ZZ...ZZZZZ.ZZZ.Z.ZZZZZ.ZZZZZZZ :snyper:

cosinus 03.07.2007 16:43

Okay, wenn du die Auswertung nicht willst, kann ich nichts machen :nixda:
Ein einfaches Löschen der Dateien reicht definitiv nicht aus, im Übrigen kann man nun dank deiner Löschaktionen, BEVOR du die Dateien ausgewertet hast, definitiv nicht mehr sagen, was dich da befallen hat.

Daher ist m.E. ein Neuaufsetzen angesagt! Folge dem Link neu aufsetzen in meiner Signatur.

BTW, das richtet sich nicht nur gegen dich: Ich bin's hier langsam leid, man kann genauso gut mit einer Wand sprechen :headbang:
Man gibt Hinweise erstmal zur Auswertung, damit die User das erfolgreich ignorieren und eh auf Gutdünken auf eigene Faust handeln. :(

Dynamite 03.07.2007 17:31

sorry, ich danke dir für deine hilfe!ich bin es nur langsam leid, jedesmal die karre neu aufzusetzen und in ein paar wochen wieder festzustellen, dass alles für den arsch war, egal welche software man nun hat oder nicht!aber du weißt doch, wie die viren heißen, also weißt du es doch, mit was ich es zu tun habe oder nicht?die berichte waren aber auch fertig und es kam einfach nichts mit filegröße und so!

was hättest du mir geraten, wie ich die viren von meinem pc bekomme?welche programme benutzt du denn?

alle sagen antivir ist so toll!aber ich finde, egal welches programm ich habe, der virus wird ja eh nicht gelöscht, man drückt 1000 mal löschen oder in quarantäne verschieben und man hat 500 mal einunddenselben virus in quarantäne!wenn ich den dann da raus lösche läuft der pc auch nicht besser!naja, jetzt geht er wenigstens wieder, mal schauen wie lange, aber er läuft rund, wenn auch mit kleinen macken!
was soll ich machen, wenn ich mgrs.exe nicht finde?ich meine, ich finde sie ja auch nicht!wie soll ich sie dann entfernen!?

du hattest auch aufgeschrieben avp.exe!das ist ja antivirpersonal!ist jetzt mein ANTIvirenprogramm schon mit viren befallen?!!^^

Freu mich, wenn du zurück schreibst!

MFG
Dynamite

danke dir wirklich sehr!


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131