DAU braucht Eure Hilfe!
 

Hallo,
hab mir hier den Bericht über ieexplore.exe durchgelesen und ich hab das gleiche Problem! nun wollte ich höflichst fragen ob sich hier jemand von den Profis meiner annehmen kann um mir zuhelfen?.
Ich habe keine Ahnung vom PC! sag ich gleich!! Aber bitte kann mir jemand hier bei meinem Log file helfen? was ist schädlich? was brauche ich usw.?? Was kann ich tun? Für Hilfe bin ich sehr dankbar!
Mfg Jan


Logfile of HijackThis v1.99.1
Scan saved at 22:41:03, on 09.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h++p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Dokumente und Einstellungen\The Power\Anwendungsdaten\Mra\Update\mrasearch.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Rambler-Àññèñòåíò - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Programme\Rambler Assistant\ramblertoolbarU0.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MAgent] C:\Programme\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Mail.Ru ????? - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Programme\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru ????? - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Programme\Mail.Ru\Agent\magent.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h++p://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h++p://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177084294984
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h++p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{10713AE5-8734-4FAD-B41A-3D2B2507A957}: NameServer = 192.168.123.254,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{10713AE5-8734-4FAD-B41A-3D2B2507A957}: NameServer = 192.168.123.254,0.0.0.0
O17 - HKLM\System\CS3\Services\Tcpip\..\{10713AE5-8734-4FAD-B41A-3D2B2507A957}: NameServer = 192.168.123.254,0.0.0.0
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


Hoffendlich hab ich alles richtig verstanden und gemacht! Will kein Ärger lieber Admin!

Hi und :) Herzlich Willkommen im Trojaner-Board :)

Du hast dir dir diesen Backdoortrojaner eingefangen -> Troj/Mirchack-B

Somit ist eine vollständige Bereinigung nicht gewährleistet.
* System neu aufsetzen mit anschließender Absicherung
Denke bitte dran, deine Logindaten im Online/Offline-Bereich zu ändern.

mfg Cleriker

Hallo Cleriker,
recht herzlichen Dank für deine Antwort auch wenn Sie nicht positiv ist.
Leider ist der Link zum Backdoortrojaner in Englisch und ich kann das nicht lesen.
Ich werde mich mal im I-Net schlau machen.
System neu Aufsetzen? das heist nur C:/ platt machen? und das reicht?
Was ist mit Kaspersky oder so? gibts denn keine Alternative den Trojaner zu löschen?

Danke nochmals

Es grüßt Jan

Hi nochmal,

- reduziert die Systemsicherheit
- installiert sich inder Registrierung
- ist eine Kopie von Troj/Mirchack-E und ermöglicht somit dritten den Zugriff
auf deinen Rechner

- Ein Formatieren der Systemfestplatte reicht aus
- Sollte zum Zeitpunkt der Infizierung eine weitere Partition
vorhanden sein, überprüfe diese, bevor du wieder drauf zugreifst
- Als Datensicherung sollten ausschließlich Dateien kopiert werden,
die nicht ausführbar sind (.exe, .dll, ...)

Klar, ein Entfernen ist möglich, jedoch ist die Systemsicherheit anschließend
mit vielen Risiken behaftet. Du kannst deine Logindaten als
ausspioniert ansehen und die Möglichkeit in Betracht ziehen, dass
weitere Einträge und Schädlinge auf deinem System untergebracht sind.

mfg Cleriker

Hallo Cleriker und schönen guten Abend,

Danke für Deine ausfühtliche Antwort, weißt Du was ich nicht verstehe ist, selbst wenn ich C:/ neu mache, muß ich dann alles neue Passwörter einrichten?
Viel besser ist doch, die Datei zufinden woher das kommt und die entsprechenden Unterordner zu lokalisieren.
Ist das nicht machbar? oder besser ein AntiVirus Progr. das diese Datei löscht und dann die Absicherung zumachen, geht das nicht?
Entschuldige bitte, für die vielen blö... Fragen aber ich hab nich soviel Ahnung von der Materie!
Jedenfalls wenn ich das so gelesen habe traue ich mir das echt nicht zu, alles neu zumachen inkl. Absicherung.
Scheint mir garnicht so einfach zusein. deshalb wollte ich einen leichteren Weg zugehen.
Wie ist es denn wenn ich selber in die Regedit gehe den Trojaner lösche, vorrausgesetzt ich finde ihn und dann eine Absicherung mache? geht das denn?

Es grüßt freundlichst Jan

Guten Morgen,

ERMÖGLICHT DRITTEN DEN ZUGRIFF AUF DEINEN RECHNER
Das allein dieser Satz dich nicht abschreckt, wundert mich stark.
Den Trojaner kann man natürlich beseitigen, aber es ist unmöglich
fest zustellen, was inzwischen auf deinem Rechner gelöscht, geändert
oder hinzugefügt wurde. Wenn wir eine Bereinigung vornehmen, kannst
du gewiss sein, dass danach einiges nicht mehr funktioniert und du
dann doch neu aufsetzen möchtest. Also ersparr dir den langen Weg.

mfg Cleriker

Guten Morgen,

Du hast natürlich 1000% recht!
Das Gefühl ist schon sehr schlecht nur allein daran zudenken,dass mann offen ist wie ein Scheunentor.
Aber was sagt mir, wenn ich die Dateien in C:/ wieder einspiele, dass ich mir die entsprechende infizierte Datei nicht wieder drauflade?

Habe gestern EScan mal laufen lassen und der hat 1500 Vieren gefunden!!!??
Ist das normal??
Hat das was damit zu tun?

Es grüßt freundlichst Jan

Abend...

Edit: haaaaaaalt -> ganz böser Fehler,
ich wurde ebend nochmal nach dem Schädling
gefragt und habe ihn in deinem Log gar nicht mehr
gefunden -> sorry nochmal, muss im Post oder so
verrutscht sein: Nichts desto trotz poste bitte
den escan.

mfg Cleriker

Guten Morgen Cleriker,
Na das ist ja mal eine gute Nachricht!! Blos gut das ich Angst hatte vorm Platt machen!!:)
Wie bitte soll ich denn das vom EScan machen?
Weist Du wieviel das ist?
Muß ich das in eine extra Datei packen?
Hilfe wie?

Es grüßt Dich Jan

Der Schädling ist dieser hier und nix anderes :

Viruslist.com - Trojan-Spy.Win32.Banker.a

NEUAUFSETZEN!!!:eek:

Der zeichnet Tastenanschläge auf und sendet Sie an eine Mail-Adresse!!

@Cleriker

Es ist wichtig das man zumindest den richtigen Schädling findet ,bevor man hier eine Sicherheitsberatung gibt.

Moin Jan :)

Neuaufsetzen ist der leichtere Weg und so schwer ist das nicht.
Das schaffst Du bestimmt.:daumenhoc

Hier gibt es bebilderte Anleitung ->
Aus dem Link http://www.trojaner-board.de/12154-a...sicherung.html
unter
Q: Was bedeutet Neuaufsetzen?-> Windows neu oder erstmalig installieren (Screenshotguide) findest Du z.B eine zum Runterladen RapidShare: 1-Click Webhosting

oder hier z.B.

Windows XP Pro Installation

Notfalls druckst Du Dir das aus und legst es neben den PC.

Sichern solltest Du nur nicht ausführbare Dateien
vergl.

https://www.datenschutzzentrum.de/se...dateitypen.htm

und wie Cleriker schon schrieb: Ändere alle Passwörter

Falls Dir etwas nicht klar sein sollte, frage nochmal. :)

Grüße cad

Morgen,

halt ma bitte...:kloppen:

woher hast du den Virus denn gefunden,
das würde mich jetzt aber mal interssieren.

in dem Logfile (3*inzwischen durchgesehen) sehe
ich jetzt nur bekämpfbare Malware.

@Jan, bitte erst mal den escan mit Hilfe der find.bat posten
(ausführlich)

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

Hallo Cad, Hallo Cleriker,

Das mit dem neu Aufsetzen hat sich ja gott seis gedankt erledigt, da mich Cleriker verwechselt hat!:Boogie::Boogie:
Ich hoffe das war auch richtig.
Aber trotzdem vielen ,vielen Dank für den Link! werd ich mir gleich mal speichern!

Ich hab alles von Escan auf dem Desktop im Ordner und wollte das hier reinmachen, aber die Datei ist zu groß ca, 22KB und nur 19 kann man.

Wie machen ich das jetzt Cleriker?

Es grüßt Jan

Hi,

wenn du alles dabei hast, hast du dir bestimmt auch
die find.bat geladen. Wenn nicht, klicke nochmals den
oben genannten Link an. Dort steht die find.bat zum
Download bereit. Wenn du nach dem vollendeten escan
die find.bat ausführst, wird eine Zusammenfassung des
Protokolls in einem sich dir öffnenden "escan_neu.txt" - Fenster
erstellt. Den Inhalt postest du dann hier.

Edit: Das mit dem neuen Aufsetzen hat sich vielleicht
noch nicht erledigt. In deinem Log ist eine Malware,
die jedoch ein Neuafsetzen (bis jetzt) nicht erfordert.

mfg Cleriker

Hallo,
wenn ihr zwei Paniker jetzt nicht aufhört den armen TO zu verunsichern,komme ich euch mal durch die Leitung ..:kloppen::kloppen:
Postet eure Funde und zeigt dem TO den Weg zu Virustotal oder Jotti !!
Wenn ihr hier weiter "ich sehe was was du nicht siehst" spielen wollt,dann spiele ich mit !
Dann heißt das Spiel aber "Ochs vorm Berg"
Dreimal dürft ihr raten, wer den Berg gibt und wer die Ochsen sind !
Irrlicht