Trojaner-Board - Bitte um Kontrolle HJT

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um Kontrolle HJT (https://www.trojaner-board.de/56636-bitte-um-kontrolle-hjt.html)

Bitte um Kontrolle HJT

Hallo zusammen,

nachdem mein erster Rechner von einem Virus befallen ist/war, habe ich nun auch meinen zweiten Rechner nach Euren Hinweisen durchchecken lassen.

Intel Celeron 1,8 / Win XP SP2
AntiVirenKit prof. von GData

Ich habe zuerst mit AVK Virenbefunde in die Quarantäne geschoben und danach mit SuperAntiSpyware den Rechner geprüft. Ergebnis: keine Befunde. Malwarebytes findet auch nichts mehr. Mit CCleaner mal ein wenig aufgeräumt, den Quarantäneordner gelöscht und nach Neustart nochmals alles durchlaufen lassen. Scheint jetzt sauber zu sein.

Könnte bitte jemand einen Blick auf die Logfiles werfen und mir mitteilen, ob das nun ok ist? Vielen Dank für die Hilfe!!!

HijachThis

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:26:00, on 24.07.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe

C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\mgabg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe

C:\WINDOWS\twain_32\A4CIS600\WATCH.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\AntiVirenKit InternetSecurity\AVK\avk.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001

O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe

O4 - Global Startup: Firewall.lnk = ?

O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe

O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200226742234

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200226684093

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe

O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe

O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
 

--

End of file - 5089 bytes

MalwareBytes

Code:

Malwarebytes' Anti-Malware 1.22

Datenbank Version: 984

Windows 5.1.2600 Service Pack 2
 

21:44:59 23.07.2008

mbam-log-7-23-2008 (21-44-59).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 79227

Laufzeit: 28 minute(s), 2 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Gruss
DiGi

Hi,
was hatte AVK denn gefunden?

Das Log sieht sauber aus, aber deine Javaversion ist von vorm Krieg.
Deinstallier bitte alle alten Versionen über Start->Systemsteuerung->Software und lade dir die neueste Version von Sun herunter.

Erstelle danach ein neues Log.

lg myrtille

neuer HJT Log ohne java

Hallo myrtille,

zuerst vielen Dank für Deine Hilfe!!

Leider war ich so ordentlich, nach verschieben der auffälligen Datei in den Quarantäneornder selbigen inklusive Protokolle zu löschen. War ich zu voreilig und kann leider keine genauere Bezeichnung über die Protokolle übermitteln. sorry dafür.

Ich habe die alte Javaversion gelöscht und versucht, über den angegebenen Link neu zu installieren (download der Datei jre-6u7-windows-i586-p-s und Doppelklick). Kommt eine merkwürdige Fehlermeldung vom Windows Installer: "Fehler bei der Anwendung von Transformen. Stellen Sie sicher, dass die angegebenen Transformpfade gültig sind". Einzige Auswahlmöglichkeit ist hier der "OK"-Button - danach bricht die Installation ab.

Hier mal der neue Log von HJT:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:06:17, on 24.07.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe

C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\mgabg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe

C:\WINDOWS\twain_32\A4CIS600\WATCH.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\msiexec.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001

O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll

O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe

O4 - Global Startup: Firewall.lnk = ?

O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe

O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200226742234

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200226684093

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe

O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe

O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
 

--

End of file - 4575 bytes

Grüße
DiGiBln

PS: weißt Du was dieser Windows Installer ist? Habe den auch unter "Software"

Hi,

hast du versucht die Online- oder die Offlineversion zu installieren?
Ich werd mal gucken, ob ich zu der Fehlermeldung etwas herausfinden kann.

lg myrtille

Hii,

es gingen beide Versionen von Sun nicht zu installieren - habe ehlich keine Ahnung was das sein könnte.

Ich habe frecher Weise mal diesen Windowsinstaller gelöscht - ändert auch nichts ....

Ich habe nach dem Neustart allerdings zwei Fehlermeldungen erhalten.
1. rundll32.exe wurde als Virusverdacht gemeldet. Ein Scan der Datei unter \Windows/system32 ergab aber nichts. Nun tauchte der Fehle auch nicht mehr auf und es steht nichts im Protokoll.

2. Beim Start von Windows öffnet sich webfilter.exe und meldet "die Anwendung konnte nicht gestartet werden, weil Pakiegui.dll nicht gefunden wurde. Neuinstallation der Anwendung könnte das Problem beheben."

Bin im Moment ein wenig Computergagga, die ganzen scans dauern Stunden und ich habe noch einen zweiten Rechner, bei dem ich grad gleiches durchmache.

Danke nochmals für Deine Hilfe!

Gruss

Hi,

Java weiß offensichtlich auch nicht woher die Fehlermeldung beim Installieren kommt. :D
Vorschläge zur Problemlösung von Java.

Den Windows Installer brauchst du zb um MSI-Pakete installieren zu können. Mehr Infos dazu

Als was wird rundll32.exe denn gemeldet? Wie lautet die genaue Meldung?

@webfilter
Vielleicht hilft eine Neuinstallation tatsächlich.
Wenn du nur noch die Meldung loswerden willst (aber dann fehlen halt Teile deines Antivirenprogramms) musst du folgenden Eintrag aus deinem Autostartmenü entfernen:

Zitat:

Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe

lg myrtille

Hi myrtille,

Das mit Java stelle ich mal hinten an; ... denke, dass ich das schon wieder in den Griff bekomme :-)

Thema WindowsInstaller: .. ok, mal sehen wie ich den wiederherstellen kann. Oder kann ich den nachträglich von irgendwo installieren? Ich schaue mal ob ich etwas dazu im Netz finde.

rundll32.exe - wie geschrieben, kein Protokoll und der Fehler taucht auch nicht mehr auf.

Die webfilter.exe habe ich mal an die GData Ambulanz geschickt und warte noch auf Antwort.

Danke und Gruss

DigiBln