Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Laptop rechnet und rechnet und rechnet... (https://www.trojaner-board.de/77246-laptop-rechnet-rechnet-rechnet.html)

TommyK 09.09.2009 10:56
Laptop rechnet und rechnet und rechnet...
 
Hi zusammen!

Immer wenn ich meinen Laptop hochfahre, braucht er 10 Minuten (!!!) bis alles geladen ist. Dabei hab ich kaum Programme. Wenn ich STRG + ALT + ENTF drücke, zeigt er mir dass über 50 Prozesse (!!!) laufen. Viele von denen kenne ich nicht mal?! Dabei sind auch Programme wie ping.exe (hört sich doch irgendwie Trojaner-verdächtig an oder???) und 6 Mal das Programm svchost.exe...

Ich bin ratlos und hoffe Ihr könnt mir da weiter helfen?

Anbei schicke ich das Logfile das durch HiJackThis generiert wurde:

Danke schon mal im Voraus!

LG

Thommy

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:50:15, on 09.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\CmWatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\AT1\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=GRfox000
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AFAF9C7-62A7-48D2-B040-8A183DB10DBA}: NameServer = 217.0.43.177 217.0.43.161
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 7868 bytes

Acid303 09.09.2009 15:32
Hallo Thommy

Als erstes fixe bitte folgende Einträge

Code:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=GRfox000

O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
Dann wäre da noch

Code:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AFAF9C7-62A7-48D2-B040-8A183DB10DBA}: NameServer = 217.0.43.177 217.0.43.161
Falls du die Domäne oder IP nicht kennst solltest du das fixen.

Lade dir danach den CCleaner herunter. Säubere damit dein System und die Registry. Anschließend einmal Malwarebytes Anti Malware (MBAM) downloaden und das System scannen.
Danach noch einmal mit HJT scannen und beide logs (vom MBAM und vom HJT) hier nocheinmal posten.

Gruß

Acid

Franz1968 09.09.2009 15:47
Einschub: Dieser Eintrag
Zitat:
Zitat von Acid303 (Beitrag 464067)
Code:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AFAF9C7-62A7-48D2-B040-8A183DB10DBA}: NameServer = 217.0.43.177 217.0.43.161
ist legitim. Bitte nicht fixen.
Man kann die Herkunft von IPs, die man nicht zuordnen kann, übrigens zB hier klären: http://www.domaintools.com/

Acid303 09.09.2009 15:57
Zitat:
Zitat von Franz1968 (Beitrag 464073)
Einschub: Dieser Eintragist legitim. Bitte nicht fixen.
Man kann die Herkunft von IPs, die man nicht zuordnen kann, übrigens zB hier klären: http://www.domaintools.com/
Ups! Mein Fehler! Da hat Franz natürlich recht da hätte ich besser hinsehen sollen.

Gruß

Acid

TommyK 10.09.2009 19:54
Hi!

Danke zunächst für die Hilfe!

Ich hab jetzt Malware durchlaufen lassen und alles löschen lassen...es gibt jetzt angeblich keine infizierten Objekte mehr...

Trotzdem rechnet der Laptop immer noch wie wild. Außerdem ist seit dem Neustart bei Mozilla ein Werbebalken zu sehen. Scheinbar verdient jemand mit mir Geld...

Was kann ich tun???

Anbei das Logfile von HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:08, on 10.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\CmWatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\AT1\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AFAF9C7-62A7-48D2-B040-8A183DB10DBA}: NameServer = 217.0.43.177 217.0.43.161
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 7984 bytes



UND Malware:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2009
Windows 5.1.2600 Service Pack 3

10.09.2009 20:31:04
mbam-log-2009-09-10 (20-31-04).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 108469
Laufzeit: 39 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


DANKE IM VORAUS!!!

LG

Thommy

Acid303 10.09.2009 20:45
Hallo Thommy

Das HJT log sieht soweit ich das sehe recht unauffällig aus. Allerdings hast du einer veraltete Version vom Malwarebytes. Bitte lade dir die aktuelle version 1.40 hier herunter Malwarebytes Anti-Malware Download - Malwarebytes Anti-Malware 1.40 mache ein Update der signaturen und scanne dein system damit bitte noch einmal.

Gruß

Acid

TommyK 11.09.2009 13:40
hi! :)

Danke für den Tipp. Malware habe ich eben upgedated. Die Fehler hab ich schon behoben. Was könnte ich denn noch machen um dieses unnötige Rechnen meines Laptops zu stoppen?

Übrigens: Als ich mit Malware eben die infizierten Objekte entfernen wollte, kam eine Meldung dass ich nicht die Administratorenrechte hätte um 2 Objekte zu entfernen...dabei bin ich der einzige User an meinem Laptop?!?!

Anbei das Logfile:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2774
Windows 5.1.2600 Service Pack 3

11.09.2009 14:38:37
mbam-log-2009-09-11 (14-38-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 129815
Laufzeit: 1 hour(s), 24 minute(s), 44 second(s)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 65

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\AT1\Lokale Einstellungen\Anwendungsdaten\winlogon.exe (Worm.Brontok) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\AT1\Lokale Einstellungen\Anwendungsdaten\services.exe (Worm.Brontok) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\AT1\Lokale Einstellungen\Anwendungsdaten\lsass.exe (Worm.Brontok) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tok-cirrhatus (Worm.Brontok) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bron-spizaetus (Worm.Brontok) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Brontok) -> Data: c:\windows\eksplorasi.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe (Generic.Bot.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\AT1\Lokale Einstellungen\Anwendungsdaten\winlogon.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Lokale Einstellungen\Anwendungsdaten\services.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Lokale Einstellungen\Anwendungsdaten\lsass.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Lokale Einstellungen\Anwendungsdaten\smss.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\WINDOWS\SHELLNEW\bronstab.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Dateien.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Videos\Eigene Videos.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Videos\DivX Movies\DivX Movies.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Media Player Classic\Media Player Classic.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Meine empfangenen Dateien\Meine empfangenen Dateien.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Meine empfangenen Dateien\aydree20021252791849\Verlauf\Verlauf.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Soulseek Chat Logs\Private\Private.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Fin2\Fin2.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Downloads\Downloads.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\MySpaceMusicDownloader\MySpaceMusicDownloader.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Bewerbung\Bewerbung.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Bewerbung\Bewerbungen\Bewerbungen.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Bewerbung\Bewerbungen\PWC\PWC.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\VirtualDub-1.8.6\VirtualDub-1.8.6`.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\VirtualDub-1.8.6\aviproxy\aviproxy.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\VirtualDub-1.8.6\plugins\plugins.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Jazzanova - Of All The Things (2008)\Jazzanova - Of All The Things (2008).exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Jazzanova - Of All The Things (2008)\Jazzanova - Of All The Things (2008)\Jazzanova - Of All The Things (2008).exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\IUR\IUR.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\WinRAR 3.80\WinRAR 3.80`.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\vpnclient-win-msi-5.0.03.0530-k9\vpnclient-win-msi-5.0.03.0530-k9`.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Startmenü\Startmenü.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Startmenü\Programme\Programme.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Startmenü\Programme\Autostart\Autostart.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Startmenü\Programme\WinRAR\WinRAR.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Startmenü\Programme\Zubehör\Zubehör.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Startmenü\Programme\Zubehör\Eingabehilfen\Eingabehilfen.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Startmenü\Programme\Zubehör\Unterhaltungsmedien\Unterhaltungsmedien.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Life Ball\Life Ball.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Life Ball\FB\FB.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Life Ball\FB2\FB2.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Bilder\Eigene Bilder.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Bilder\2009-01 (Jan)\2009-01 (Jan).exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Bilder\2009-04 (Apr)\2009-04 (Apr).exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\FreshJugs\FreshJugs.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\FreshJugs\heute.at\heute.at`.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\Eigene Musik.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\iTunes.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\02\03\09\09.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\03\10\12\12.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\04\02\09\09.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\06\10\12\12.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\08\10\12\12.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\10\02\09\09.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\10\09\12\12.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\11\01\09\09.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\11\10\12\12.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\14\01\09\09.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\14\09\12\12.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\14\10\12\12.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Eigene Musik\iTunes\Album Artwork\Cache\46693D1583632B3B\15\10\12\12.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Eigene Dateien\Artikel\Artikel.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Lokale Einstellungen\Anwendungsdaten\inetinfo.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Lokale Einstellungen\Anwendungsdaten\csrss.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Startmenü\Programme\Autostart\Empty.pif (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AT1\Vorlagen\WowTumpeh.com (Worm.Brontok) -> Quarantined and deleted successfully.
C:\WINDOWS\eksplorasi.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AT1's Setting.scr (Worm.Brontok) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.


DANKE!

LG

Thommy

Acid303 11.09.2009 16:10
Hallo Thommy

Zitat:
Übrigens: Als ich mit Malware eben die infizierten Objekte entfernen wollte, kam eine Meldung dass ich nicht die Administratorenrechte hätte um 2 Objekte zu entfernen...dabei bin ich der einzige User an meinem Laptop?!?!
Kannst du bitte mal posten welche 2 Objekte das waren?

Gruß

Acid

TommyK 11.09.2009 19:58
Dieses Objekt kann ich auf Teufel komm raus nicht entfernen:

Infizierte Verzeichnisse:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Delete on reboot.

LG

Thommy


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131