Trojaner-Board - Programme schliessen sich u.a. automatisch

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Programme schliessen sich u.a. automatisch (https://www.trojaner-board.de/38786-programme-schliessen-u-a-automatisch.html)

Programme schliessen sich u.a. automatisch

Hallo,
ich habe seit gestern merkwürdige Dinge an meinem Computer feststellen müssen und hoffe um eure Hilfe.
- Programme wie zum Beispiel ICQ, WM-Player, Internet-Explorer werden
nach dem Öffnen nach ca 2sek wieder geschlossen
- Internetseiten werden nicht mehr geladen (als ich auf der Suche nach
Antivirenprogrammen war, ist die Internetverbindung nach einer
gewissen Zeit verloren gegangen)
- Antivirus kann nicht gestartet werden ("prüfen" - Button grau hinterlegt)
Ich habe aus Vorsicht meinen Rechner heruntergefahren und bediene mich nun meines Laptops.
Leider habe ich wenig Ahnung von Computern und solchen Erscheinungen und bitte um Aufklärung und Hilfe.
Ich habe mir von verschiedenen Quellen Rat eingeholt und wollte nun nachfragen, welcher am sinnvollsten erscheint.

1. Rechner im abgesicherten Modus hochfahren und dort versuchen den Antivirus zu starten
2. Ad-Ware 6.0 bzw. Antivir Personal Edition herunterladen, installieren und durchlaufen lassen
3. mit dem Programm "Hijackthis" den Rechner durchscannen und die Ergebnisse hier zu posten
4. CWShredder herunterladen und benutzen
5. auf Start - Programme - Zubehör - Systemprogramme gehen und eine Systemwiederherstellung durchführen

Ich hoffe wie gesagt auf eure Hilfe und bin jedem Helfer dankbar für seine Mühen und seine geopferte Zeit.

Vielen Dank.

Beglücke uns bitte zu allererst mit einem Hijackthis-Log (siehe Anleitung in unserer FAQ-Sektion) damit wir uns einen ersten Überblick verschaffen können.

Gruß

Marc

Logfile of HijackThis v1.99.1
Scan saved at 20:53:01, on 10.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\System\Offline\AntiVir PersonalEdition Classic\sched.exe
C:\System\Offline\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kaspersky Lab\AVP6\avp.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NewDotNet\nnrun.exe
C:\System\Offline\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NewDotNet\nnrun.exe
C:\Programme\Kaspersky Lab\AVP6\avp.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\System\Online\Opera75\opera.exe
C:\Dokumente und Einstellungen\****\Desktop\Neuer Ordner (2)\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\System\Online\ICQToolbar\tbuE8\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\System\Online\ICQToolbar\tbuE8\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\System\Offline\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\System\Offline\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\System\Online\ICQToolbar\tbuE8\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Kaspersky Anti-Virus 2006] C:\Programme\Kaspersky Lab\AVP6\avp.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\System\Online\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Script Checker - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\AVP6\scieplugin.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\System\Online\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\System\Online\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Games\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Games\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp06.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\System\Offline\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\System\Offline\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVP - Kaspersky Lab - C:\Programme\Kaspersky Lab\AVP6\avp.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NNServ - Unknown owner - C:\Programme\NewDotNet\nnrun.exe" "C:\Programme\NewDotNet\nncore.dll" ServiceStart (file missing)
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\System\Offline\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RichiStudios Shutdown (RSShutdown) - Unknown owner - C:\System\Offline\Shutdown\service.exe (file missing)
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\System\Offline\Sandra Lite XIb\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\System\Offline\Sandra Lite XIb\RpcSandraSrv.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Ich hoffe ich hab alles richtig gemacht.

Gruß Kerberos

NewDotNet ist schon mal drauf.
Und diesen solltest Du bei Jotti bzw.Virustotal überprüfen lassen und hier das Ergebnis posten:
O23 - Service: RichiStudios Shutdown (RSShutdown) - Unknown owner - C:\System\Offline\Shutdown\service.exe (file missing)
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)
Letzter deutet auf einen Backdoor hin. Zumindest hast Du viel Malware drauf...

Gruß Patrick

Scanne bitte mit Blacklight und poste den Report.
F-Secure Blacklight > BlackLight Testversion

Marc, es wurden keine versteckten Dateien gefunden (Blacklight). Ich bin nun gerade dabei die "nnrun.exe" bei VirusTotal überprüfen zu lassen. Gruß Kerberos

Complete scanning result of "nnrun.exe", received in VirusTotal at 05.11.2007, 15:40:55 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.10.0 05.11.2007 no virus found
AntiVir 7.4.0.15 05.11.2007 no virus found
Authentium 4.93.8 05.10.2007 no virus found
Avast 4.7.997.0 05.11.2007 no virus found
AVG 7.5.0.467 05.10.2007 no virus found
BitDefender 7.2 05.11.2007 no virus found
CAT-QuickHeal 9.00 05.11.2007 no virus found
ClamAV devel-20070416 05.11.2007 no virus found
DrWeb 4.33 05.11.2007 no virus found
eSafe 7.0.15.0 05.10.2007 no virus found
eTrust-Vet 30.7.3627 05.11.2007 no virus found
Ewido 4.0 05.11.2007 no virus found
FileAdvisor 1 05.11.2007 No threat detected
Fortinet 2.85.0.0 05.11.2007 no virus found
F-Prot 4.3.2.48 05.10.2007 no virus found
F-Secure 6.70.13030.0 05.11.2007 no virus found
Ikarus T3.1.1.7 05.11.2007 no virus found
Kaspersky 4.0.2.24 05.11.2007 no virus found
McAfee 5028 05.10.2007 no virus found
Microsoft 1.2503 05.11.2007 no virus found
NOD32v2 2258 05.11.2007 no virus found
Norman 5.80.02 05.11.2007 no virus found
Panda 9.0.0.4 05.10.2007 no virus found
Prevx1 V2 05.11.2007 Adware.NewDotNet
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.05.2007 no virus found
Symantec 10 05.11.2007 no virus found

Gruß

Was soll mit diesen Pfaden geschehen?

O23 - Service: RichiStudios Shutdown (RSShutdown) - Unknown owner - C:\System\Offline\Shutdown\service.exe (file missing)

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

Danke im Voraus.

05/11/07 15:29:03 [Info]: BlackLight Engine 1.0.61 initialized
05/11/07 15:29:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/11/07 15:29:03 [Note]: 7019 4
05/11/07 15:29:03 [Note]: 7005 0
05/11/07 15:29:09 [Note]: 7006 0
05/11/07 15:29:09 [Note]: 7011 2868
05/11/07 15:29:10 [Note]: 7026 0
05/11/07 15:29:10 [Note]: 7026 0
05/11/07 15:29:15 [Note]: FSRAW library version 1.7.1021
05/11/07 15:39:50 [Note]: 2000 1012
05/11/07 15:39:50 [Note]: 2000 1012
05/11/07 15:39:50 [Note]: 2000 1012
05/11/07 15:41:41 [Note]: 7007 0

RSShutdown ist im Übrigen sauber, es ist nur ein Programm welches den PC per Einstellung zu einer gewählten Zeit automatisch herunterfahren lässt.
Ich bin gerade dabei "nvsvcd.exe" über VirusTotal prüfen zu lassen.

Complete scanning result of "nvsvc32.exe", received in VirusTotal at 05.11.2007, 17:51:41 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.10.0 05.11.2007 no virus found
AntiVir 7.4.0.15 05.11.2007 no virus found
Authentium 4.93.8 05.11.2007 no virus found
Avast 4.7.997.0 05.11.2007 no virus found
AVG 7.5.0.467 05.10.2007 no virus found
BitDefender 7.2 05.11.2007 no virus found
CAT-QuickHeal 9.00 05.11.2007 no virus found
ClamAV devel-20070416 05.11.2007 no virus found
DrWeb 4.33 05.11.2007 no virus found
eSafe 7.0.15.0 05.10.2007 no virus found
eTrust-Vet 30.7.3627 05.11.2007 no virus found
Ewido 4.0 05.11.2007 no virus found
FileAdvisor 1 05.11.2007 No threat detected
Fortinet 2.85.0.0 05.11.2007 no virus found
F-Prot 4.3.2.48 05.11.2007 no virus found
F-Secure 6.70.13030.0 05.11.2007 no virus found
Ikarus T3.1.1.7 05.11.2007 no virus found
Kaspersky 4.0.2.24 05.11.2007 no virus found
McAfee 5028 05.10.2007 no virus found
Microsoft 1.2503 05.11.2007 no virus found
NOD32v2 2259 05.11.2007 no virus found
Norman 5.80.02 05.11.2007 no virus found
Panda 9.0.0.4 05.10.2007 no virus found
Prevx1 V2 05.11.2007 no virus found
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.05.2007 no virus found
Symantec 10 05.11.2007 no virus found