Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Expertentipp bitte (https://www.trojaner-board.de/60356-expertentipp-bitte.html)

Computergeni 26.09.2008 15:05
Zitat:
Sorry. Aber ich hab mich gewundert wie die Einträge ohne dein Beitun verschwinden konnte.
Ich habe die datei schon seit paar wochen aus dem msconfig genommen(bevor ich diesen Thread eröffnet habe, aber trotzdem war sie noch im hijackthislogfile, nach SDFix aber war sie weg.)

Zitat:
Setz den Haken bei msconfig wieder rein, ruf Hijackthis auf und fixe die beiden Einträge. (kannst du alles im abgesicherten modus machen)
Ansonsten kannst du auch regedit aufrufen (start->ausführen->regedit eingeben) und die Einträge manuell löschen.
Ich würd dir aber empfehlen, das mit Hijackthis zu tun.
Danke das werde ich jetzt umsetzen. Melde mich bei Problemen.

Gruß

Computergeni 27.09.2008 12:46
Es ist auch noch eine svchost.exe im Systemstart. Die Datei ist unter D:\WINDOWS\drivers\svchost gespeichert.
Habe die Datei daraufhin bei virustotal hochgeladen und das Ergebnis ist 14/36%.

Hier der Report:



Datei svchost.exe empfangen 2008.09.27 13:42:51 (CET)
AntivirusVersionletzte aktualisierungErgebnisAhnLab-V32008.9.25.02008.09.26-AntiVir7.8.1.342008.09.26-Authentium5.1.0.42008.09.27-Avast4.8.1195.02008.09.26-AVG8.0.0.1612008.09.26SHeur.CKPGBitDefender7.22008.09.27-CAT-QuickHeal9.502008.09.27TrojanDownloader.Agent.ahkmClamAV0.93.12008.09.27-DrWeb4.44.0.091702008.09.27-eSafe7.0.17.02008.09.25Win32.Agent.ahkmeTrust-Vet31.6.61112008.09.27-Ewido4.02008.09.27-F-Prot4.4.4.562008.09.27-F-Secure8.0.14332.02008.09.27Trojan-Downloader.Win32.Agent.ahkmFortinet3.113.0.02008.09.27PossibleThreatGData192008.09.27-IkarusT3.1.1.34.02008.09.27Trojan-Downloader.Win32.Agent.ahkmK7AntiVirus7.10.4752008.09.26-Kaspersky7.0.0.1252008.09.27Trojan-Downloader.Win32.Agent.ahkmMcAfee53932008.09.27Generic Downloader.xMicrosoft1.39032008.09.27TrojanDownloader:Win32/Small.IQNOD3234752008.09.26-Norman5.80.022008.09.26-Panda9.0.0.42008.09.27-PCTools4.4.2.02008.09.26-Prevx1V22008.09.27Cloaked MalwareRising20.63.52.002008.09.27-SecureWeb-Gateway6.7.62008.09.26-Sophos4.34.02008.09.27Mal/Generic-ASunbelt3.1.1675.12008.09.27Trojan-Downloader.Win32.Agent.ahkmSymantec102008.09.27DownloaderTheHacker6.3.0.9.0942008.09.25-TrendMicro8.700.0.10042008.09.26-VBA323.12.8.62008.09.27-ViRobot2008.9.26.13942008.09.26Trojan.Win32.Downloader.30208.AFVirusBuster4.5.11.02008.09.26-weitere InformationenFile size: 30208 bytesMD5...: 0c688f2abd34a127ce1a21632fedadacSHA1..: bc37dda5574e42cd3421168f5e435045c371f698SHA256: 5ab774c9c111a3d875b68f47f9569633e32ab42023a63bc04975e59691c95282SHA512: 27e23f4dca12821accfc74f817c42bf65751ea843c43d5b520b27a9e39828944<br>8baa306678b443a57121ff7c4dda87829ac0fda01fed9d03476f1d99a627ae43PEiD..: -TrID..: File type identification<br>Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>VXD Driver (0.1%)PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4010d3<br>timedatestamp.....: 0x484cfe4f (Mon Jun 09 09:56:31 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xafd 0xc00 3.53 4994df03dd451c2aedb4c6006b51e23f<br>.rdata 0x2000 0xb6f 0xc00 5.17 28d1952e9d83b47734e1d7498f11967a<br>.data 0x3000 0x1cee7 0x5a00 7.16 8ae6e41f2770547a53024900b2ba798f<br><br>( 5 imports ) <br>&gt; kernel32.dll: GetCurrentProcess, GetStringTypeW, MultiByteToWideChar, GetOEMCP, GetStdHandle, SetFilePointer, GetFileType, GetCommandLineA, WriteFile, CreateFileA, GetACP, GetCPInfo, GetVersion, lstrcpynW, GetModuleFileNameA, GetStringTypeA, LCMapStringW, lstrcpynA, TerminateProcess, LCMapStringA, GetStartupInfoA, lstrcpyA, lstrcatA<br>&gt; comctl32.dll: ImageList_Add, ImageList_LoadImageW, CreateStatusWindow, DllGetVersion, ImageList_Copy, ImageList_GetIcon, CreateMappedBitmap, ImageList_EndDrag, DrawStatusText, ImageList_LoadImageA, ImageList_AddIcon, ImageList_DragEnter, ImageList_DrawEx, InitCommonControls, ImageList_GetIconSize, CreateUpDownControl, ImageList_Draw, CreateToolbarEx, MenuHelp, CreateToolbar<br>&gt; gdi32.dll: CreateHalftonePalette, CreateDIBitmap, ExcludeClipRect, CreatePenIndirect, GetDCOrgEx, GetClipBox, DeleteObject, CreatePalette, CreateCompatibleDC, CreateDIBSection, CreateSolidBrush, GetBrushOrgEx, DeleteDC, SetTextColor, GetCurrentPositionEx, GetBitmapBits, CreateFontIndirectA, GetPixel, RestoreDC, CreateCompatibleBitmap, GetPixel<br>&gt; advapi32.dll: RegCreateKeyExA, RegEnumKeyA, RegSetValueA, RegQueryValueW, RegQueryValueA, RegDeleteValueA, RegDeleteKeyA, RegDeleteValueW, RegCreateKeyW, RegEnumKeyExA, RegOpenKeyA, RegOpenKeyExA, RegEnumValueW, RegCreateKeyExW, RegDeleteKeyW, RegQueryValueExW, RegCreateKeyA, RegSetValueW, RegEnumKeyExW, RegEnumValueA, RegOpenKeyExW, RegOpenKeyW<br>&gt; user32.dll: CopyIcon, CreateIcon, GetFocus, CloseWindow, InsertMenuA, DialogBoxParamA, CopyImage, DrawIconEx, CopyRect, LoadCursorA, IsWindow, GetCursor, GetDlgItem, DrawIcon, DialogBoxParamW, GetWindowTextLengthA, DrawTextA, IsMenu, GetWindowTextA, LoadMenuA, GetDC, GetMenu<br><br>( 0 exports ) <br>Prevx info: Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.26 -
AntiVir 7.8.1.34 2008.09.26 -
Authentium 5.1.0.4 2008.09.27 -
Avast 4.8.1195.0 2008.09.26 -
AVG 8.0.0.161 2008.09.26 SHeur.CKPG
BitDefender 7.2 2008.09.27 -
CAT-QuickHeal 9.50 2008.09.27 TrojanDownloader.Agent.ahkm
ClamAV 0.93.1 2008.09.27 -
DrWeb 4.44.0.09170 2008.09.27 -
eSafe 7.0.17.0 2008.09.25 Win32.Agent.ahkm
eTrust-Vet 31.6.6111 2008.09.27 -
Ewido 4.0 2008.09.27 -
F-Prot 4.4.4.56 2008.09.27 -
F-Secure 8.0.14332.0 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm
Fortinet 3.113.0.0 2008.09.27 PossibleThreat
GData 19 2008.09.27 -
Ikarus T3.1.1.34.0 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm
K7AntiVirus 7.10.475 2008.09.26 -
Kaspersky 7.0.0.125 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm
McAfee 5393 2008.09.27 Generic Downloader.x
Microsoft 1.3903 2008.09.27 TrojanDownloader:Win32/Small.IQ
NOD32 3475 2008.09.26 -
Norman 5.80.02 2008.09.26 -
Panda 9.0.0.4 2008.09.27 -
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.27 Cloaked Malware
Rising 20.63.52.00 2008.09.27 -
SecureWeb-Gateway 6.7.6 2008.09.26 -
Sophos 4.34.0 2008.09.27 Mal/Generic-A
Sunbelt 3.1.1675.1 2008.09.27 Trojan-Downloader.Win32.Agent.ahkm
Symantec 10 2008.09.27 Downloader
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.26 -
VBA32 3.12.8.6 2008.09.27 -
ViRobot 2008.9.26.1394 2008.09.26 Trojan.Win32.Downloader.30208.AF
VirusBuster 4.5.11.0 2008.09.26 -

weitere Informationen
File size: 30208 bytes
MD5...: 0c688f2abd34a127ce1a21632fedadac
SHA1..: bc37dda5574e42cd3421168f5e435045c371f698
SHA256: 5ab774c9c111a3d875b68f47f9569633e32ab42023a63bc04975e59691c95282
SHA512: 27e23f4dca12821accfc74f817c42bf65751ea843c43d5b520b27a9e39828944<br>8baa306678b443a57121ff7c4dda87829ac0fda01fed9d03476f1d99a627ae43
PEiD..: -
TrID..: File type identification<br>Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>VXD Driver (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4010d3<br>timedatestamp.....: 0x484cfe4f (Mon Jun 09 09:56:31 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xafd 0xc00 3.53 4994df03dd451c2aedb4c6006b51e23f<br>.rdata 0x2000 0xb6f 0xc00 5.17 28d1952e9d83b47734e1d7498f11967a<br>.data 0x3000 0x1cee7 0x5a00 7.16 8ae6e41f2770547a53024900b2ba798f<br><br>( 5 imports ) <br>&gt; kernel32.dll: GetCurrentProcess, GetStringTypeW, MultiByteToWideChar, GetOEMCP, GetStdHandle, SetFilePointer, GetFileType, GetCommandLineA, WriteFile, CreateFileA, GetACP, GetCPInfo, GetVersion, lstrcpynW, GetModuleFileNameA, GetStringTypeA, LCMapStringW, lstrcpynA, TerminateProcess, LCMapStringA, GetStartupInfoA, lstrcpyA, lstrcatA<br>&gt; comctl32.dll: ImageList_Add, ImageList_LoadImageW, CreateStatusWindow, DllGetVersion, ImageList_Copy, ImageList_GetIcon, CreateMappedBitmap, ImageList_EndDrag, DrawStatusText, ImageList_LoadImageA, ImageList_AddIcon, ImageList_DragEnter, ImageList_DrawEx, InitCommonControls, ImageList_GetIconSize, CreateUpDownControl, ImageList_Draw, CreateToolbarEx, MenuHelp, CreateToolbar<br>&gt; gdi32.dll: CreateHalftonePalette, CreateDIBitmap, ExcludeClipRect, CreatePenIndirect, GetDCOrgEx, GetClipBox, DeleteObject, CreatePalette, CreateCompatibleDC, CreateDIBSection, CreateSolidBrush, GetBrushOrgEx, DeleteDC, SetTextColor, GetCurrentPositionEx, GetBitmapBits, CreateFontIndirectA, GetPixel, RestoreDC, CreateCompatibleBitmap, GetPixel<br>&gt; advapi32.dll: RegCreateKeyExA, RegEnumKeyA, RegSetValueA, RegQueryValueW, RegQueryValueA, RegDeleteValueA, RegDeleteKeyA, RegDeleteValueW, RegCreateKeyW, RegEnumKeyExA, RegOpenKeyA, RegOpenKeyExA, RegEnumValueW, RegCreateKeyExW, RegDeleteKeyW, RegQueryValueExW, RegCreateKeyA, RegSetValueW, RegEnumKeyExW, RegEnumValueA, RegOpenKeyExW, RegOpenKeyW<br>&gt; user32.dll: CopyIcon, CreateIcon, GetFocus, CloseWindow, InsertMenuA, DialogBoxParamA, CopyImage, DrawIconEx, CopyRect, LoadCursorA, IsWindow, GetCursor, GetDlgItem, DrawIcon, DialogBoxParamW, GetWindowTextLengthA, DrawTextA, IsMenu, GetWindowTextA, LoadMenuA, GetDC, GetMenu<br><br>( 0 exports ) <br>


Wenn ich google und dann auf einen Link gehe werde ich zu einer komplett anderen Seite verlinkt? Was soll ich tun?


Hier noch mein Hiajckthislogfile:

Logfile of Trend Micro H*jackThis v2.0.2
Scan saved at 14:10:05, on 27.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\WINDOWS\System32\LVCOMSX.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\phonostar\ps_timer.exe
D:\Programme\Windows Live\Messenger\msnmsgr.exe
D:\Programme\Windows Live\Messenger\usnsvc.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\Skype\Plugin Manager\SkypePM.exe
D:\Programme\Yahoo!\Messenger\YahooMessenger.exe
D:\WINDOWS\system32\winlogon.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] D:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1007\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Alex')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) -
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) -
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) -
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6110 bytes


Gruß

myrtille 27.09.2008 16:22
Zitat:
Was soll ich tun?
Dein Verhalten im Internet überdenken. Du hast dir bereits wieder eine neue Infektion zugezogen. :rolleyes:

Aktualisiere Malwarebytes, lasse es scannen, alle Funde entfernen und poste danach das Log hier.

lg myrtille

Computergeni 27.09.2008 19:08
Hier das Log von mbam:


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1215
Windows 5.1.2600 Service Pack 3

27.09.2008 20:04:08
mbam-log-2008-09-27 (20-04-08).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 29509
Laufzeit: 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Delete on reboot.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Delete on reboot.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.SoftMate) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Delete on reboot.
HKEY_CLASSES_ROOT\Typelib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.SoftMate) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.

myrtille 27.09.2008 19:13
Starte den Rechner neu und erstell ein neues Hijackthislog poste es dann hier.

lg myrtille

Pfuscher 27.09.2008 19:14
EDIT:

@Pfuscher
Wenn es etwas zu diskutieren gibt, dann bitte so wie ich es dir hier beschrieben habe -> http://www.trojaner-board.de/60312-a...troffener.html

Computergeni 27.09.2008 19:28
Zitat:
Starte den Rechner neu und erstell ein neues Hijackthislog poste es dann hier.
Ich habe davor den falschen Scan gemacht sorry.
Bei Systemdateien war kein hacken ich mache jetzt noch einen Scan mit Systemdateien und dieser dauert nun auch nicht nur 30 Sekunden. Ich poste dann wieder das Logfile davon dann start ich neu und poste das neue Hijackthislogfile.

@Pfuscher:
Zu viele Köche verderben den brei ich bleibe bei dem was myrtille sagt.

Gruß

Computergeni 27.09.2008 19:42
Neues mbamlogfile:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1215
Windows 5.1.2600 Service Pack 3

27.09.2008 20:37:47
mbam-log-2008-09-27 (20-37-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 121989
Laufzeit: 24 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Delete on reboot.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Delete on reboot.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.SoftMate) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Delete on reboot.
HKEY_CLASSES_ROOT\Typelib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.SoftMate) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.

So hier das neue Hijackthislogfile:

Logfile of Trend Micro H*jackThis v2.0.2
Scan saved at 20:40:45, on 27.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\WINDOWS\System32\LVCOMSX.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\phonostar\ps_timer.exe
D:\WINDOWS\system32\drivers\svchost.exe
D:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] D:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1008\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Elias')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) -
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) -
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) -
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5955 bytes


Noch was: Irgendeine Malware schaltet immer die Windows-Firewall aus ich aktiviere sie dann wieder aber nach einiger Zeit zeigt mir die Taskleiste wieder an dass sie deaktiviert ist? Und ich denke das nicht alle Dateien von mbam gelöscht worden konnten. Denn wenn ich auf Quarantäne von mbam wechsele stehen dort 10 objekte unter anderem svchost.exe. Und wenn ich den Scan neu mache werden mir wieder 16 infizierte Objekte angezeigt??

Gruß

Pfuscher 27.09.2008 19:52
EDIT:

@Pfuscher
Wenn es etwas zu diskutieren gibt, dann bitte so wie ich es dir hier beschrieben habe -> http://www.trojaner-board.de/60312-a...troffener.html

Computergeni 27.09.2008 21:54
Ich kenn den Fehler jetzt:
Ich habe mbam mit einem eingeschränkten Benutzer scannen lassen. Habe es gerade eben mit einem Administrator laufen lassen und dann alle Einträge erfolgreich gelöscht. Wenn ich jetzt einen neuen Scan mache werden mir keine infizierten Objekte angezeigt. Und wenn ich im Systemkonfigurationsprogramm unter dem ''Reiter'' Systemstart gucke steht dort nicht mehr svchost.exe und die Firewall schaltet sich auch nicht mehr von allein aus.
Erste mbamergebnisse mit Administrator:

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1215
Windows 5.1.2600 Service Pack 3
27.09.2008 22:44:33
mbam-log-2008-09-27 (22-44-33).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 36719
Laufzeit: 26 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9
Infizierte Speicherprozesse:
D:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
Die Dateien die in Quarantäne verschoben wurden habe ich im abgesicherten Modus (systemwiederherstellung auf allen laufwerken deaktiviert) gelöscht.

Zweite mbamtest-Ergebisse nach dem Ersten als Administrator:

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1215
Windows 5.1.2600 Service Pack 3
 
27.09.2008 22:50:34
mbam-log-2008-09-27 (22-50-34).txt
 
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 36253
Laufzeit: 32 second(s)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Und hier mein hoffentlich letztes Hijackthislogfile in diesem Thread:

Logfile of Trend Micro Hi*ckThis v2.0.2
Scan saved at 23:28:09, on 27.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\WINDOWS\System32\LVCOMSX.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\phonostar\ps_timer.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Windows Live\Messenger\msnmsgr.exe
D:\Programme\Windows Live\Messenger\usnsvc.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\Skype\Plugin Manager\SkypePM.exe
D:\Programme\Yahoo!\Messenger\YahooMessenger.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Programme\Athan\Athan.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) -
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) -
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) -
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
--
End of file - 6081 bytes


Gruß und Danke an myrtille

myrtille 28.09.2008 00:03
Poste bitte noch ein neues Hijackthislog und denk eventuell darüber nach auf einen alternativen Browser wie Firefox oder Opera umzusteigen.

Internet Explorer 8 ist eine Betasoftware, das heißt sie enthält wahrscheinlich noch zahlreiche Fehler und Lücken und sollte daher nur genutzt werden, wenn man mit entsprechenden Problemen umgehen kann.

lg myrtille

Computergeni 28.09.2008 09:20
Das Hijackthislogfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:19:04, on 28.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\WINDOWS\System32\LVCOMSX.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\phonostar\ps_timer.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\Yahoo!\Messenger\YahooMessenger.exe
D:\Programme\Windows Live\Messenger\msnmsgr.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Skype\Plugin Manager\SkypePM.exe
D:\Programme\Windows Live\Messenger\usnsvc.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1007\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Alex')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - http://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6106 bytes
Zitat:
und denk eventuell darüber nach auf einen alternativen Browser wie Firefox oder Opera umzusteigen.
Ich benutze schon den Mozilla Firefox 3 den IE benutze ich nur für das Windwos Update. Wollte die Betaversion einfach mal testen deinstalliere sie dann nun.

Gruß

myrtille 28.09.2008 11:13
Hi,

ok, ich war nur irritiert weil in deinem vorletzten Log der internet explorer lief.

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:27 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55