|
Iexlorer öffnet ungewollte Seiten - HiJackThis Log-File prüfen? Hallo, ich habe seit ein paar Tagen das Problem, dass IExplorer, z.B. beim Klicken auf Google Suchergebnisse auf andere Seiten verweist: - Meistens irgendwelche Virenschutzprogramme zum Online-Kaufen. Ausserdem kommt beim Hochfahren des Computers eine Fehlermeldung, dass IExplorer geschlossen werden muss (war noch gar nicht geöffnet!) Ich habe deshalb hier mein aktuelles Logfile geposted und würde mich über eine fachkundige Prüfung desselben freuen! Grüße und Dank Hessn Logfile of HijackThis v1.99.1 Scan saved at 10:45:30, on 08.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\System32\svchost.exe C:\Programme\QuickTime\qttask.exe C:\acer\epm\epm-dm.exe C:\PROGRA~1\LAUNCH~1\LManager.EXE C:\Programme\Gemeinsame Dateien\AOL\1165441128\ee\aolsoftware.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\TomTom HOME\TomTomHOME.exe C:\WINDOWS\system32\22gucqhpyi.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe C:\Programme\Internet Explorer\iexplore.exe C:\PMAIL\winpm-32.exe C:\DOKUME~1\Helmut\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Tiscali Deutschland R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3A556CF8-BCEA-42AB-B5BA-7B5AD21A3E4F} - C:\WINDOWS\system32\mimefil.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333- CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA- CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164 \swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32 \IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32 \IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32 \IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09 \bin\jusched.exe" O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1165441128\ee\AOLSoftware.exe O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s O4 - HKLM\..\Run: [22gucqhpyi] C:\WINDOWS\system32\22gucqhpyi.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [22gucqhpyi] C:\WINDOWS\system32\22gucqhpyi.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0 \aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O4 - Global Startup: Update_0707_KB77012.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF- AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2- BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de O18 - Protocol: haufereader - (no CLSID) - (no file) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
Hallo, laß dieses hier bei "Jotti" oder "Virustotal"prüfen.Poste das Ergebniss komplett ! Zitat:
|
A little adding zum Posting von irrlicht Zitat:
|
Hallo Irrlicht, hier kommt das Ergebnis von Jotti: Datei: 22gucqhpyi.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: ASPACK Bit9 rapportiert: File not found A-Squared Keine Viren gefunden AntiVir TR/Crypt.XPACK.Gen gefunden ArcaVir Keine Viren gefunden Avast Win32:Downloader-FY gefunden AVG Antivirus Downloader.Small.57.A gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus W32/Backdoor.QBS gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 a variant of Win32/Small.BB gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Bck/Murbac.D gefunden Rising Antivirus Keine Viren gefunden Sophos Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Malware.Agent.187 (paranoid heuristics) gefunden (mögliche Variante) |
1. Ist dass nicht dass komplette Ergebnis 2. Wo ist die andere Datei!? |
Zitat:
Hallo Renegad, heisst das, du benötigst auch ein Scanning von Jotti? Hier das Ergebnis. Datei: mimefil.dll Auslastung: 0% 100% Status: VIELLEICHT INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH.UPX, UPX Bit9 rapportiert: File not found A-Squared Keine Viren gefunden AntiVir HEUR/Malware gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden Sophos Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden |
Zitat:
hier bekommt ihr noch das Ergebnis des scans von Virustotal. Ich hoffe, das ist komplett?! -------------------------------------------------------------------------- Datei 22gucqhpyi.exe empfangen 2007.08.08 15:18:19 (CET) Ergebnis: 13/32 (40.63%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.3.0 2007.08.08 - AntiVir 7.4.0.57 2007.08.08 TR/Crypt.XPACK.Gen Authentium 4.93.8 2007.08.08 W32/Backdoor.QBS Avast 4.7.1029.0 2007.08.07 Win32:Downloader-FY AVG 7.5.0.476 2007.08.07 Downloader.Small.57.A BitDefender 7.2 2007.08.08 - CAT-QuickHeal 9.00 2007.08.07 - ClamAV 0.91 2007.08.08 - DrWeb 4.33 2007.08.08 - eSafe 7.0.15.0 2007.07.31 suspicious Trojan/Worm eTrust-Vet 31.1.5043 2007.08.08 - Ewido 4.0 2007.08.08 - FileAdvisor 1 2007.08.08 - Fortinet 2.91.0.0 2007.08.08 - F-Prot 4.3.2.48 2007.08.08 W32/Backdoor.QBS F-Secure 6.70.13030.0 2007.08.08 - Ikarus T3.1.1.12 2007.08.08 Backdoor.Win32.Small.na Kaspersky 4.0.2.24 2007.08.08 - McAfee 5092 2007.08.07 Generic BackDoor.n Microsoft 1.2704 2007.08.08 - NOD32v2 2443 2007.08.08 a variant of Win32/Small.BB Norman 5.80.02 2007.08.07 - Panda 9.0.0.4 2007.08.07 Bck/Murbac.D Prevx1 V2 2007.08.08 - Rising 19.35.22.00 2007.08.08 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.08.07 VIPRE.Suspicious Symantec 10 2007.08.08 - TheHacker 6.1.7.163 2007.08.07 - VBA32 3.12.2.2 2007.08.07 suspected of Malware.Agent.187 (paranoid heuristics) VirusBuster 4.3.26:9 2007.08.07 - Webwasher-Gateway 6.0.1 2007.08.08 Trojan.Crypt.XPACK.Gen weitere Informationen File size: 14336 bytes MD5: a5f28e77d4c80e2c67a3e2fb5aef5b26 SHA1: 984318d0e9ccb28e6a94ac2ccf9f1f5ac64bed52 packers: ASPack packers: ASPACK Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
Zitat:
1. Du hattest einen Backdoor gehabt; Diese Datei enthält die Signaturen des Schädlings, ist aber von sich selbst unschädlich. In dem Fall gibt es bei KAV kein Detect/Alarm. 2. Kasperl hat den neuen Schädling einfach verpennt. |
Zitat:
Vielen Dank soweit. In Ordnung, habe ich gemacht. Soll ich jetzt einfach abwarten, was die Kaperskis sagen oder kann ich etwas tun? Ich bin als Laie relativ angekratzt wg. der Funde in der Datei. Ciao Hessn |
Hallo, Zitat:
Zitat:
Irrlicht |
Hier kommt schon die Antwort von Kapersky: --------------------------------------- Hello, 22gucqhpyi.exe_ - Backdoor.Win32.Small.na New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help. --------------------------------------- grüße hessn |
KAV hat beim nächsten Virenupdate meinen "backdoor" auch erkannt und in die Quarantäne verschoben. Desinfizieren lässt es sich nicht. Muss ich nun Windows neu aufsetzen oder gibts noch eine andere Chance, das Ding loszuwerden? Grüße und Dank für die bisherigen Tipps hessn |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board