Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ich habe ein Problem! (https://www.trojaner-board.de/73415-habe-problem.html)

TheChemist 23.05.2009 13:04
Ich habe ein Problem!
 
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo alle miteinander!

Ich habe ein kleines bzw ein großes Problem!
Ich scheine mir einen Virus oder Trojaner eingefangen zu haben und werde diesen einfach nicht mehr los!

Ich habe Programme wie Spybot,Spyware Doctor 2009 uvm durchlaufen lassen,jedoch ohne Erfolg.

Es öffnet sich ständig der Internetexplorer und müllt mich mit Werbung zu, mein Desktop verändert sich (siehe Screenshot),deaktivierung des Tastmanagers, sowie die deaktivierung des AktiveDesktop? (Änderungen des Desktops deaktiviert)

Klicke ich auf einen Link, lande ich meistens auf irgendwelchen Websites, die nicht der Linkadresse entsprechen.(siehe Screenshot)

Hier die LogFile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:39:43, on 23.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\init32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Dokumente und Einstellungen\TheChemist\Anwendungsdaten\ptidl\ptidl.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\TheChemist\Anwendungsdaten\Twain\Twain.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\init32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: (no name) - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: C:\WINDOWS\system32\had732ufn8.dll - {A6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had732ufn8.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] REM SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] REM C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] REM "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ptidl] "C:\Dokumente und Einstellungen\TheChemist\Anwendungsdaten\ptidl\ptidl.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Twain] C:\Dokumente und Einstellungen\TheChemist\Anwendungsdaten\Twain\Twain.exe
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\LOCALS~1\protect.dll,_IWMPEvents@16
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [] C:\WINDOWS\TEMP\n1a0vax.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [uidenhiufgsduiazghs] C:\WINDOWS\TEMP\n1a0vax.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [svc] c:\program Files\ThunMail\testabd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O20 - AppInit_DLLs: c:\windows\system32\pasugusa.dll,C:\WINDOWS\system32\kalerazo.dll,c:\progra~1\ThunMail\testabd.dll
O20 - Winlogon Notify: __c0033F79 - C:\WINDOWS\system32\__c0033F79.dat
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\pasugusa.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\pasugusa.dll (file missing)
O22 - SharedTaskScheduler: hasf8h3rfijfn98gf9iar - {A6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had732ufn8.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: avast!Antivirus - Unknown owner - C:\WINDOWS\System32\avast!Antivirus.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

--
End of file - 6302 bytes

Ich bedanke mich schon im Voraus die Hilfe!

Marcel

derDon 23.05.2009 13:20
Hallo Chemist,

in deinem HJTL sind so ein paar sachen dir mir als Laie schon recht "verdächtig" vorkommen.

Code:
C:\WINDOWS\system32\frmwrk32.exe
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
z.B.

Deinstalliere auch mal den Spybot und lade dir Malwarebytes und/oder Superantispyware runter.
Stell die Programme so ein wie beschrieben und Poste die Logs hier im Thread.

Gruß,
Christian

maximilian11 23.05.2009 13:22
Warum ist dein AntiVir deaktiviert???

TheChemist 23.05.2009 13:35
Liste der Anhänge anzeigen (Anzahl: 1)
Danke für die schnellen Antworten!

Folgendes:

Malware Doctor habe ich die Tage getestet und danach deinst. jetzt eben geht dieses Programm plötzlich auf und macht einen scan?

Daraufhin habe ich gecheckt ob das Programm doch noch inst. ist, negativ!
Selbst die Suche bleibt erfolglos! Screen im Anhang

Wie kann das sein?

Zum AntiVir Programm..

Ich verstehe das auch nicht ich habe den Guard eben aktiviert und kurz darauf ist er wieder deaktiviert, meist nach einem Neustart.

Habe eben gegoogelt um herauszufinden wie man den Taskmanager wieder aktiviert, habe gelesen dass dies in der regedit gemacht wird, habe ich dann auch getan, restartet und plötzlich ist auch die regedit option deaktiviert worden!? HILFE!

Desweiteren höre ich ständig den Systembenachrichtigungs Sound?!

Die Programme ziehe ich jetzt und lasse sie gleich durchlaufen und poste die Logs.

Hier der Screen von Maleware Doc, was eigentlich gar nicht mehr auf dem PC ist

Larusso 23.05.2009 14:23
:hallo:
Code:
O4 - HKUS\S-1-5-18\..\Run: [svc] c:\program Files\ThunMail\testabd.exe
O20 - AppInit_DLLs: c:\windows\system32\pasugusa.dll,C:\WINDOWS\system 32\kalerazo.dll,c:\progra~1\ThunMail\testabd.dll
Ich muss dir leider sagen das dein System mit VIRUT und mehr infiziert ist
Dieser ist ein File-Infector und verändert alle exe dateien

Ich bitte dich zu Formatieren,alles andere ist so gut wie sinnlos bei diesen System

4RobSen8 23.05.2009 14:24
Zitat:
Zitat von maximilian11 (Beitrag 437834)
Warum ist dein AntiVir deaktiviert???
Der Virut erklärt auch das Zitat oben...


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131