Trojaner-Board - Nun hat es mich auch erwischt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Nun hat es mich auch erwischt (https://www.trojaner-board.de/83849-hat-mich-erwischt.html)

Nun hat es mich auch erwischt

Hallo,
bin neu hier und zufällig bei der Suche nach einer Lösung für mein Problem auf dieses Forum hier getroffen.

Mein Antivir hat gestern Abend Alarm geschlagen.

Directupload.net - Dihohapui.jpg

Nachdem ich einiges gelesen habe über fakealter, möchte ich nun mein HiJackThis Log-File posten um von jemanden Hilfe zu bekommen.

Code:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 18:38:55, on 18.03.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\Programme\Cobian Backup 9\cbInterface.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Hardcopy\hardcopy.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\Launchy\Launchy.exe

C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Cobian Backup 9\cbService.exe

C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\msiexec.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Cobian Backup 9 interface] "C:\Programme\Cobian Backup 9\cbInterface.exe" -service

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Launchy.lnk = C:\Programme\Launchy\Launchy.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Cobian Backup 9 Dienst (CobianBackupAmanita) - Luis Cobian - C:\Programme\Cobian Backup 9\cbService.exe

O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Hoffe das ich bisher alles richtig gemacht habe, und jemand kann mir helfen!!!

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo,
sorry war gestern Abend wohl bisschen zu übereifrig und habe erst gepostet und dann genau gelesen.:headbang:
Bin ich schon dabei die Liste abzuarbeiten. CC habe ich erledigt (hatte ich vorher schon installiert)
Am Mailwarebytes bin ich gerade dran. (Dauert schon ne ganz schön lange Zeit....Normal?)
Wenn ich RSIT ausgefürht habe werde ich die Logs auf der voon dir vorgeschlagenen Seite einstellen.

Danke schonmal vorab für deine freundliche Begrüßung und deine Hilfe:daumenhoc

P.S. Kann ich meinen Artikel von gestern nicht editieren?

So da bin ich wieder.

Hier schon mal der Log von MT: hxxp://www.file-upload.net/download-2360803/mbam-log-2010-03-19--19-12-59-.txt.html

nun die info.txt von RSIT: hxxp://www.file-upload.net/download-2360822/info.txt.html
und die log.txt von RSIT: hxxp://www.file-upload.net/download-2360829/log.txt.html

Hoffe nun habe ich alles richtig gemacht?!?

Nein, zum Edit hat man nur ne Stunde Zeit ;)

Ja so ein Ärger :crazy:
Dafür habe ich nun die Logs schon upgeloadet:D

Hoffe das es nun passt!

Die Logs sind sauber. Noch Meldungen oder Probleme gewesen? Oder alles gut?
Mach zur Sicherheit bitte noch ein Log mit gmer und poste es (kannst hier direkt in den Beitrag ohne den file-upload.net Umweg posten)

Hallo,
Danke erstmal für deine Hilfe. Nein momentan scheint alles i.O. zu sein. :taenzer:

Hier noch der gmer log: GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-20 10:14:42
Windows 5.1.2600 Service Pack 3
Running: hlp6xfjt.exe; Driver: C:\DOKUME~1\Jan\LOKALE~1\Temp\pxlyiuoc.sys

---- System - GMER 1.0.15 ----

SSDT BA592376 ZwCreateKey
SSDT BA59236C ZwCreateThread
SSDT BA59237B ZwDeleteKey
SSDT BA592385 ZwDeleteValueKey
SSDT BA59238A ZwLoadKey
SSDT BA592358 ZwOpenProcess
SSDT BA59235D ZwOpenThread
SSDT BA592394 ZwReplaceKey
SSDT BA59238F ZwRestoreKey
SSDT BA592380 ZwSetValueKey
SSDT BA592367 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 148 804E27B4 2 Bytes [7B, 23] {JNP 0x25}
.text ntoskrnl.exe!_abnormal_termination + 14B 804E27B7 1 Byte [BA]
.text ntoskrnl.exe!_abnormal_termination + 150 804E27BC 2 Bytes [85, 23] {TEST [EBX], ESP}
.text ntoskrnl.exe!_abnormal_termination + 153 804E27BF 1 Byte [BA]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Hoffe das stimmt so:confused:

Das sieht auch unauffällig aus :)

Hallo,
vielen Dank für deine schnelle Hilfe.

Die Seite ist wirklich Gold wert. Ich werde ordentlich Werbung für das Trojaner Board machen.

Schönen Sonntag,
Helmlinger

Sehr schön! Dann prüf mal jetzt die (wichtigsten) Updates, wenn wieder alles ok ist:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Cosinus,
Werde die besagten Updates noch machen. Und versuchen auf dem neuesten Stand zu bleiben.

Vielen Dank an dich für die kompetente und schnelle Hilfe. Hoffe ich brauche dich nie mehr. :rolleyes: Aber wenn doch, dann melde ich mich wieder auf diesem Wege.

So long!

--------------------------------------------------------------

It's not the gun, it's the man behind!