Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   R3 - URLSearchHook: (no name) - - (no file) schädlich? (https://www.trojaner-board.de/89290-r3-urlsearchhook-no-name-no-file-schaedlich.html)

Neuss2002 09.08.2010 11:50

R3 - URLSearchHook: (no name) - - (no file) schädlich?
 
HiJackthis Logfile:
Code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:42:11, on 09.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Apple Software Update\SoftwareUpdate.exe
C:\WINDOWS\system32\DllHost.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\system32\MsiExec.exe
C:\WINDOWS\system32\MsiExec.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SiSRaid] C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6496 bytes

--- --- ---

Hat jemand eine Ahnung was da schädlich dran ist?
Die automatische Logfile auswertung gibt aus, dass R3 - URLSearchHook: (no name) - - (no file) schädlich ist?! Kennt sich da jemand aus?

Grüße aus Neuss

kira 09.08.2010 13:47

Hallo und Herzlich Willkommen! :)

Zitat:

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Ja, da da ist etwas nicht ganz in Ordnung, daher:

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

2.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

3.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

4.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Neuss2002 09.08.2010 14:29

Code:

Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        10.0.12.36
Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        10.0.45.2
Adobe Reader 9.3.3 - Deutsch        Adobe Systems Incorporated        9.3.3
ANNO 1602 Königs-Edition                1.00
ANSTOSS 2               
Apple Application Support        Apple Inc.        1.3.1
Apple Mobile Device Support        Apple Inc.        3.1.0.62
Apple Software Update        Apple Inc.        2.1.1.116
Ashampoo Burning Studio 2010        ashampoo GmbH & Co. KG        9.1.0
Avira AntiVir Personal - Free Antivirus        Avira GmbH       
Biet-O-Matic v2.12.7        BOM Development Team        Biet-O-Matic v2.12.7
Blitzkrieg               
Blue Byte Game Channel        UbiSoft       
Bonjour        Apple Inc.        2.0.2.0
Canon MP Navigator 3.0               
Canon Utilities My Printer               
CCleaner        Piriform        2.34
Counter-Strike        Valve       
Crystal Reports Basic for Visual Studio 2008        Business Objects        10.5.0.0
Crystal Reports Basic German Language Pack for Visual Studio 2008        Business Objects        10.5.0.0
DEL Eishockey Manager 2005               
Die Siedler IV               
DivX Codec        DivX, Inc.        6.8.5
DivX Converter        DivX, Inc.        7.1.0
DivX Player        DivX, Inc.        7.2.0
DivX Plus DirectShow Filters        DivX, Inc.       
DivX Web Player        DivX,Inc.        1.5.0
EAGLE 4.13               
EAX4 Unified Redist        Creative Labs        4.001
EF Multi File Renamer        EFSoftware       
Emergency               
Fortuna Düsseldorf SCRINO 1.0        Quintinity GbR       
Free Audio CD Burner version 1.4        DVDVideoSoft Limited.       
Free WMA to MP3 Converter 1.16        Jodix Technologies Ltd.       
Free YouTube to MP3 Converter version 3.7        DVDVideoSoft Limited.       
GX IEC Developer 7.04        Mitsubishi Electric Europe b.v.        7.04
Half-Life 2: Deathmatch        Valve       
Half-Life 2: Episode One        Valve       
Half-Life Deathmatch: Source        Valve       
Half-Life: Counter-Strike               
ICQ Toolbar        ICQ        3.0.0
ICQ6.5        ICQ        6.5
IKEA Home Planner        IKEA IT        2.0.1
iTunes        Apple Inc.        9.2.1.5
Java(TM) 6 Update 18        Sun Microsystems, Inc.        6.0.180
Java(TM) 6 Update 21        Sun Microsystems, Inc.        6.0.210
Java(TM) 6 Update 7        Sun Microsystems, Inc.        1.6.0.70
Malwarebytes' Anti-Malware        Malwarebytes Corporation       
Microsoft .NET Compact Framework 2.0 SP2        Microsoft Corporation        2.0.7045
Microsoft .NET Compact Framework 3.5        Microsoft Corporation        3.5.7283
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU        Microsoft Corporation        2.1.21022
Microsoft .NET Framework 2.0 Service Pack 2        Microsoft Corporation        2.2.30729
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU        Microsoft Corporation        3.1.21022
Microsoft .NET Framework 3.0 Service Pack 2        Microsoft Corporation        3.2.30729
Microsoft .NET Framework 3.5 Language Pack - DEU        Microsoft Corporation       
Microsoft .NET Framework 3.5 SP1        Microsoft Corporation       
Microsoft Compression Client Pack 1.0 for Windows XP        Microsoft Corporation        1
Microsoft Device Emulator Version 3.0 - DEU        Microsoft Corporation        9.0.21022
Microsoft Document Explorer 2008        Microsoft Corporation       
Microsoft Document Explorer 2008 Language Pack - DEU        Microsoft Corporation       
Microsoft SQL Server 2005        Microsoft Corporation       
Microsoft SQL Server Compact 3.5 Design Tools DEU        Microsoft Corporation        3.5.5386.0
Microsoft SQL Server Compact 3.5 DEU        Microsoft Corporation        3.5.5386.0
Microsoft SQL Server Compact 3.5 for Devices DEU        Microsoft Corporation        3.5.5386.0
Microsoft SQL Server Database Publishing Wizard 1.2        Microsoft Corporation        1.2.0.0
Microsoft SQL Server Native Client        Microsoft Corporation        9.00.3042.00
Microsoft SQL Server VSS Writer        Microsoft Corporation        9.00.3042.00
Microsoft User-Mode Driver Framework Feature Pack 1.0        Microsoft Corporation       
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        9.0.30729.4148
Microsoft Visual Studio 2005 Tools for Office Runtime Language Pack        Microsoft Corporation       
Microsoft Visual Studio 2008 Professional Edition - DEU        Microsoft Corporation       
Microsoft Visual Studio Web Authoring Component        Microsoft Corporation        12.0.4518.1066
Microsoft Windows SDK for Visual Studio 2008 .NET Framework Tools        Microsoft        3.5.21022
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries        Microsoft Corporation        6.1.5288.17011
Microsoft Windows SDK for Visual Studio 2008 SDK Reference Assemblies and IntelliSense        Microsoft Corporation        6.1.5288.17011
Microsoft Windows SDK for Visual Studio 2008 Tools        Microsoft Corporation        6.1.5288.17011
Microsoft Windows SDK for Visual Studio 2008 Win32 Tools        Microsoft Corporation        6.1.5288.17011
MobileMe Control Panel        Apple Inc.        3.1.1.0
Mozilla Firefox (3.6)        Mozilla        3.6 (de)
Mozilla Sunbird (0.9)        Mozilla        0.9 (de)
MSDN Library für Visual Studio 2008 - DEU        Microsoft        9.0
MSXML 6.0 Parser        Microsoft Corporation        6.10.1129.0
OpenOffice.org 3.2        OpenOffice.org        3.2.9502
PokerStars.net        PokerStars.net       
QuickTime        Apple Inc.        7.66.71.0
Safari        Apple Inc.        5.33.17.8
SiS VGA Utilities               
SiSAGP driver                1.21
SiSRaidPackage                4.00.000
Skat-Online V7        Skat.com, c/o Markus Riehl       
Skype web features        Skype Technologies S.A.        1.0.3971
Skype™ 4.1        Skype Technologies S.A.        4.1.179
SopCast 3.2.4        SopCast.com        3.2.4
SoundMAX        Analog Devices        5.12.01.5410
Steam        Valve        1.0.0.0
t@x 2009 Standard        Buhl Data Service GmbH        16.00.6228
t@x 2010 Standard        Buhl Data Service GmbH        17.00.6531
Tobit.Software clipinc.fx        Tobit.Software       
TrackMania Nations ESWC 1.7.9        Nadeo       
Uninstall 1.0.0.1               
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)        Microsoft Corporation        9.00.3042.00
Vietcong 2               
VirtualCloneDrive        Elaborate Bytes       
Visual Studio 2005 Tools for Office Second Edition Runtime        Microsoft Corporation       
Visual Studio Tools for the Office system 3.0 Runtime        Microsoft Corporation       
Visual Studio-Tools für Office System 3.0 Runtime Language Pack - DEU        Microsoft Corporation       
Windows Internet Explorer 7        Microsoft Corporation        20070813.185237
Windows Media Format 11 runtime               
Windows Media Player 11               
Windows Mobile 5.0 SDK R2 for Pocket PC        Microsoft Corporation        5.00.1700.5.14343.06
Windows Mobile 5.0 SDK R2 for Smartphone        Microsoft Corporation        5.00.1700.5.14343.06
Windows XP Service Pack 3        Microsoft Corporation        20080414.031514
WinRAR

und die Startdateien habe ich auch hier mal:
Code:

Ja        HKCU:Run        CTFMON.EXE        C:\WINDOWS\system32\ctfmon.exe
Nein        HKCU:Run        ClipIncTray        "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
Nein        HKCU:Run        msmsgs        "C:\Programme\Messenger\msmsgs.exe" /background
Nein        HKCU:Run        Skype        "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
Nein        HKCU:Run        steam        "c:\programme\steam\steam.exe" -silent
Ja        HKLM:Run        SoundMAXPnP        C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
Ja        HKLM:Run        SoundMAX        "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
Ja        HKLM:Run        SiSRaid        C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
Ja        HKLM:Run        SiSPower        Rundll32.exe SiSPower.dll,ModeAgent
Ja        HKLM:Run        avgnt        "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
Ja        HKLM:Run        CanonMyPrinter        C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
Ja        HKLM:Run        Adobe Reader Speed Launcher        "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Ja        HKLM:Run        Adobe ARM        "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
Ja        HKLM:Run        QuickTime Task        "C:\Programme\QuickTime\QTTask.exe" -atboottime
Ja        HKLM:Run        SunJavaUpdateSched        "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
Ja        HKLM:Run        iTunesHelper        "C:\Programme\iTunes\iTunesHelper.exe"
Ja        HKLM:Run        AppleSyncNotifier        C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe
Nein        HKLM:Run        VCDDaemon        "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
Ja        HKLM:RunOnce        Malwarebytes' Anti-Malware        C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
Nein        Startup Common        Biet-O-Matic.lnk        C:\PROGRA~1\BIET-O~1\BIET-O~1.EXE
Nein        Startup Common        t@x aktuell.lnk        C:\PROGRA~1\BUHLFI~1\TAX201~1\TAXAKT~1.EXE
Nein        Startup Common        Utility Tray.lnk        C:\WINDOWS\system32\sistray.exe
Nein        Startup User        Fortuna Trayicon.lnk        C:\DOKUME~1\Andre\ANWEND~1\FORTUN~1\scrino\SCRINO~1.EXE

das Hi Jack folgt in 5 Minuten

Neuss2002 09.08.2010 14:55

Und hier Hi Jack:
[code]
HiJackthis Logfile:
Code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:54:02, on 09.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Dokumente und Einstellungen\Andre\Eigene Dateien\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SiSRaid] C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6756 bytes

--- --- ---

Neuss2002 09.08.2010 16:13

Was kann ich Beipsielweise aus den Startdateien schmeißen.

Und wo liegt mein Problem?

Danke für eure Hilfe!:)

kira 09.08.2010 19:45

Punkt 1. - ausgeführt? Logergebnis fehlt noch...

Neuss2002 10.08.2010 21:31

Hier das fehlende:
Code:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4410

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

10.08.2010 21:49:13
iii.txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|H:\|K:\|)
Durchsuchte Objekte: 264871
Laufzeit: 1 Stunde(n), 8 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


kira 11.08.2010 08:28

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählenHäckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:

R3 - URLSearchHook: (no name) - - (no file)
2.
Die alte Java-Versionen verbleiben auf dem PC...aus Sicherheitsgründen müssen entfernt werden,auch in Zukunft darauf achten!
also die alten Einträge bitte deinstallieren/entfernen
`Systemsteuerung → Software → Ändern/Entfernen...`
Code:

Java(TM) 6 Update 18
Java(TM) 6 Update 7

3.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

4.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
  • `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
  • `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

5.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

6.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.

→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ InternetoptionenSicherheit":
→ alles auf Standardstufe stellen
Active X erlauben - damit die neue Virendefinitionen installiert werden können

7.
poste erneut - nach der vorgenommenen Reinigungsaktion:
► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Wie ist den aktuellen Zustand des Rechners?

Neuss2002 12.08.2010 00:06

Ich habe alle Schritte ausgeführt. Nur die Datei Perflib_Perfdata_e28.dat im Ordner Temp konnte ich nicht löschen? Was ist das?

kira 12.08.2010 05:30

Zitat:

Zitat von Neuss2002 (Beitrag 553731)
Ich habe alle Schritte ausgeführt.

Schritt 6. - Kaspersky Online Scanner auch? Logergebnis?

Zitat:

Zitat von Neuss2002 (Beitrag 553731)
Nur die Datei Perflib_Perfdata_e28.dat im Ordner Temp konnte ich nicht löschen? Was ist das?

von System Monitor erzeugt
In die Temp-Ordner legt Windows permanent seine eigenen temporären Dateien ohnehin ab, also ist das normal. Nach einem Neustart sollte löschbar sein


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131