Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Diverse BHO-Trojaner.. (https://www.trojaner-board.de/69057-diverse-bho-trojaner.html)

wullxz 24.01.2009 12:04
Diverse BHO-Trojaner..
 
Hi, hier sind diverse Viren / Trojaner drauf.
Ich habe schon ein paar Programme deinstalliert, die hier unbekannt installiert waren...

Was ist hier noch zu tun?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:52:25, on 24.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Acer\LANScope Agent\awServ.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Acer\LANScope Agent\awtray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\***\LOKALE~1\Temp\svhost3.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Hama\Hama Digital Software Suite\Media Card Companion\MCC Monitor.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://w*w.schalke04.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h*p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h*p://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: addestination - {27dd47de-41f2-abf1-9c04-1b75a78bd3da} - C:\WINDOWS\system32\nsoB.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: addestination browser enhancer - {A1CC39D4-9B61-AA9C-EC72-285BCF919F0E} - C:\WINDOWS\system32\ogmvkeeiovmaxug.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [installnet.exe] "C:\Acer\LANScope Agent\Installnet.exe" "C:\Acer\LANScope Agent\
O4 - HKLM\..\Run: [AdminWorks Tray] "C:\Acer\LANScope Agent\awtray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MmSASCui.exe" -hide
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [UpData] "C:\DOKUME~1\***\LOKALE~1\Temp\svhost3.exe" -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor.lnk = C:\Programme\Hama\Hama Digital Software Suite\Media Card Companion\MCC Monitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h*p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AdminWorks Agent X6 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Acer\LANScope Agent\awServ.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

--
End of file - 7861 bytes

john.doe 24.01.2009 12:26
Hallo und :hallo:

Arbeite diese Liste ab:

1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme):
Code:
AdAware (Schrott)
Acrobat Reader (Asbach uralt)
2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\DOKUME~1\***\LOKALE~1\Temp\svhost3.exe
Die Sterne durch deinen Anmeldenamen ersetzen. Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte die Datei sich nicht finden lassen, so mache weiter mit der Liste.

3.) Starte HJT => Do a system scan only => Markiere:
Code:
O2 - BHO: addestination - {27dd47de-41f2-abf1-9c04-1b75a78bd3da} - C:\WINDOWS\system32\nsoB.dll (file missing)
O2 - BHO: addestination browser enhancer - {A1CC39D4-9B61-AA9C-EC72-285BCF919F0E} - C:\WINDOWS\system32\ogmvkeeiovmaxug.dll (file missing)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [UpData] "C:\DOKUME~1\***\LOKALE~1\Temp\svhost3.exe" -hide
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
=> Fix checked

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

5.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

6.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

wullxz 24.01.2009 12:38
Vielen dank für die schnelle Antwort.

ein paar von den HJT-Punkten habe ich schon entfernt. (BHO addestination)
Ich werde deine Liste mal abarbeiten und melde mich wieder :)

Hier, das was VirusTotal zu svchost3.exe rausgefunden hat:

Code:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 5.0.0.2 2009.01.24 Win-Trojan/Agent.94208.EB
AVG 8.0.0.229 2009.01.23 Agent.KTH
BitDefender 7.2 2009.01.24 Trojan.Generic.246372
ClamAV 0.94.1 2009.01.24 Trojan.Agent-9706
DrWeb 4.44.0.09170 2009.01.24 -
eSafe 7.0.17.0 2009.01.22 Suspicious File
F-Secure 8.0.14470.0 2009.01.24 Trojan.Win32.Agent.cws
GData 19 2009.01.24 Trojan.Generic.246372
Kaspersky 7.0.0.125 2009.01.24 Trojan.Win32.Agent.cws
Microsoft 1.4205 2009.01.24 Trojan:Win32/Agent.PU
Norman 5.93.01 2009.01.23 W32/Agent.DJWW
nProtect 2009.1.8.0 2009.01.23 Trojan/W32.Agent.70736
Panda 9.5.1.2 2009.01.24 Trj/Agent.HFS
PCTools 4.4.2.0 2009.01.24 -
Prevx1 V2 2009.01.24 Malicious Software
SecureWeb-Gateway 6.7.6 2009.01.24 -
Sophos 4.37.0 2009.01.24 -
Symantec 10 2009.01.24 Infostealer
VBA32 3.12.8.11 2009.01.23 Trojan.Win32.Agent.cws
weitere Informationen
File size: 45616 bytes
MD5...: f77aeb06511eacba41b3d7d6581fd825
SHA1..: a05e9d00e8f9cb61c975ac738613c99c7183a822
SHA256: 2e76cb2c1d8e858ce4e47860bad39454357abe3830d82f3e737ac536b0616290
SHA512: 309d1d4676043b30c47982037eb9fd8e5dda58ebe090868029bba706b09becba
d099030e2fcdc7927856e04f9a597a8919814f63ea9bff3ff13ca0db6bffd8ec
 
ssdeep: 768:XN+HOaMDsvEpSs50uNJ/lIAwPbE66FFT/87V7qqvk0HY1sP+nx:uOaP0Su5I
dbE66FFr8J7/P41sP+x
 
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41b440
timedatestamp.....: 0x471e1e9f (Tue Oct 23 16:17:35 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x12000 0xa000 0x9600 7.90 182014ed14d7019b8d3138f3dcce87d0
.rsrc 0x1c000 0x2000 0x1800 4.68 728ad25ceb5126cda5d56c454f52f72b

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> GDI32.dll: TextOutA
> iphlpapi.dll: GetIpForwardTable
> ole32.dll: CreateStreamOnHGlobal
> OLEAUT32.dll: -
> SHELL32.dll: ShellExecuteExA
> USER32.dll: GetDC
> WSOCK32.dll: -

( 0 exports )
 
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=3798AEC630728163B23800B5BD5B3700B4D0BC6C' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=3798AEC630728163B23800B5BD5B3700B4D0BC6C</a>
packers (Kaspersky): UPX
Die Überprüfung ist noch nicht fertig, aber ich glaube, es sind genug Informationen.
Es hat sich auch seit mehreren Minuten nichts mehr getan.

john.doe 24.01.2009 13:05
Zitat:
aber ich glaube, es sind genug Informationen.
:daumenhoc

wullxz 24.01.2009 13:32
btw: Danke für das Willkommen :)
Hab ich eben überlesen :)

Also:
Blacklight hat nichts gefunden.
Malwarebytes ist noch dran und hat bisher noch nichts gefunden (Spybot eben auch schon nicht mehr).

Die hijackthis.exe ist nicht auffindbar :(
Gibt es für diese noch eine andere Quelle?

john.doe 24.01.2009 13:39
Zitat:
Spybot eben auch schon nicht mehr.
Spybot gleich wieder deinstallieren.
Zitat:
Die hijackthis.exe ist nicht auffindbar.
root24 ist wohl (zu Recht) sauer . Nimm das normale.

ciao, andreas

wullxz 24.01.2009 13:45
Hm... du hälst wohl nichts von Spybot, hm? :)
Was kannst du mir denn für Antiviren / Antispywareprogramme empfehlen?

Malwarebytes ist jetzt fertig und hat nichts gefunden:

Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1688
Windows 5.1.2600 Service Pack 3

24.01.2009 13:42:30
mbam-log-2009-01-24 (13-42-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 96360
Laufzeit: 21 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Superantispyware ist jetzt noch am durchlaufen.

Danach noch Hijackthis...

Was passiert mit der svchost3.exe?

john.doe 24.01.2009 14:03
Zitat:
Hm... du hälst wohl nichts von Spybot, hm?
Benutze die Forensuche und suche nach Spybot. Entweder er findet die aktuellen erst gar nicht oder er findet etwas, kann es aber nicht entfernen oder der TeaTimer stört unsere Säuberungsversuche => Schädlich.
Zitat:
Was kannst du mir denn für Antiviren / Antispywareprogramme empfehlen?
Kein Rattengift zu essen => Homepage von Malte J. Wetz
Denn dann brauchst du die Programme erst gar nicht.
Zitat:
Was passiert mit der svchost3.exe?
Rattengift ist solange ungefährlich, solange du es nicht isst (das Programm nicht startest).

Da das Post noch greifbar ist:
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\DOKUME~1\***\LOKALE~1\Temp\svhost3.exe
Die Sterne durch deinen Anmeldenamen ersetzen.

http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Alternativ kannst du die Datenträgerbereinigung von Windows nutzen (sollte sowieso öfter erfolgen) oder den http://www.trojaner-board.de/51464-a...-ccleaner.html starten.

ciao, andreas

wullxz 24.01.2009 14:24
Neustart erledigt und nochmal HJT scannen gelassen:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:46, on 24.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\LANScope Agent\awtray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Hama\Hama Digital Software Suite\Media Card Companion\MCC Monitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.schalke04.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h**p://de.yahoo.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [installnet.exe] "C:\Acer\LANScope Agent\Installnet.exe" "C:\Acer\LANScope Agent\
O4 - HKLM\..\Run: [AdminWorks Tray] "C:\Acer\LANScope Agent\awtray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MmSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Monitor.lnk = C:\Programme\Hama\Hama Digital Software Suite\Media Card Companion\MCC Monitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

--
End of file - 6219 bytes
Ist jetzt alles in Ordnung, oder?

Zum Antivirenprogramm:
Ich hab selbst auch noch keins drauf, weil ich zu faul bin. :)
Das hier ist aber nicht mein PC ;)

Außerdem könnte es, wenn es ganz ungünstig kommt, ja auch sein, dass populäre Seiten wie wer-kennt-wen oder andere gehackt und als Malwareschleuder missbraucht werden... oder?

Edit: Superantispyware hat auch nichts gefunden.

john.doe 24.01.2009 14:37
Zitat:
Ist jetzt alles in Ordnung, oder?
Das musst du mir sagen. Das Log ist sauber, das muss aber nichts heissen. Gibt es noch Auffälligkeiten?
Zitat:
Das hier ist aber nicht mein PC
Mein Reden: Ist doch nicht so schlimm, ist doch nicht mein Rechner. :)
Zitat:
Außerdem könnte es, wenn es ganz ungünstig kommt, ja auch sein, dass populäre Seiten wie wer-kennt-wen oder andere gehackt und als Malwareschleuder missbraucht werden... oder?
Kommt in letzter Zeit leider häufiger vor, befällt aber nur den MSIE (ich nutze Opera :)). Wer mit MSIE surft, ist selber Schuld.

ciao, andreas

wullxz 24.01.2009 14:40
Zitat:
Zitat von john.doe (Beitrag 408472)
Kommt in letzter Zeit leider häufiger vor, befällt aber nur den MSIE (ich nutze Opera :)). Wer mit MSIE surft, ist selber Schuld.

ciao, andreas

Ich selbst nutze den MSIE auch nur, wenn ichs eilig habe. Der startet einfach schneller als der Firefox mit seinen Tabs, die immer offen sind und den Addons :D
Mittlerweile tendiere ich aber zum Google Chrome :)

Auffälligkeiten gibt es nicht mehr. Ich werde dem Besitzer jetzt noch sagen, er soll in den nächsten Tagen mehrmals scannen und erstmal kein Onlinebanking oder ähnliches betreiben. Sicher ist sicher :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131