Trojaner-Board - fund von unqip.exe(Adware.Sogou) nach scan mit malwarebytes.bitte um hilfe!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - fund von unqip.exe(Adware.Sogou) nach scan mit malwarebytes.bitte um hilfe! (https://www.trojaner-board.de/64492-fund-unqip-exe-adware-sogou-scan-malwarebytes-bitte-um-hilfe.html)

fund von unqip.exe(Adware.Sogou) nach scan mit malwarebytes.bitte um hilfe!

Hallo!
war vor einiger zeit schonmal hier, da ich probleme mit einigen trojanern hatte und neuaufsetzen musste.dies habe ich vor längerer zeit getan.nun habe ich mir malwarebytes runtergeladen zum gelegentlichen scannen.habe es heut zum ersten mal durchlaufen lassen und beim scan fand er eine infizierte datei im programm qip.dieses hatte mir ein freund empfohlen und ich konnte es über den chip-server downloaden.habe mir also nichts dabei gedacht und das programm selbst läuft auch einwandfrei.mir ist auch nichts auffälliges beim surfen o.ä. aufgefallen.deshalb die frage, ob es nur ein fehlalarm ist, oder ob doch etwas ernsteres dahintersteckt.für hilfe wäre ich sehr dankbar.habe leider immer noch nicht viel mehr erfahrung :)

hier die logfile von malwarebytes:

Code:

14.11.2008 21:38:23

mbam-log-2008-11-14 (21-38-13).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 80980

Laufzeit: 38 minute(s), 27 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Programme\QIP\unqip.exe (Adware.Sogou) -> No action taken.

und noch ein hjt-file

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:55:05, on 14.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\o2flash.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\OpenOffice.org 3\program\soffice.exe

C:\Programme\OpenOffice.org 3\program\soffice.bin

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224616602815

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224616594425

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
 

--

End of file - 5103 bytes

lg gagsman

Hi,

poste bitte das komplette Log: Also mitsamt der Versionsnummer und der Definitionsnummer von Malwarebytes.

Der Fehlalarm bezüglich des qip-installers sollte vor einem Monat behoben worden sein... Es wäre daher notwendig zu wissen, von wann die Defintionen de sProgramms sind.

lg myrtille

hi!
danke für deine hilfe, aber ich glaube, dass problem hat sich erledigt.ich habe "schlauerweise" den log gepostet, bevor ich auf "fehler beheben" gegangen bin.hier der tatsächliche log von malwarebytes:

[code]
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1398
Windows 5.1.2600 Service Pack 3

14.11.2008 21:38:51
mbam-log-2008-11-14 (21-38-51).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 80980
Laufzeit: 38 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.

habe dann nochmal nachdem ich den laptop neugestartet habe einen scan durchlaufen lassen und da war wieder alles ok (hoffe ich ;) )

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1398

Windows 5.1.2600 Service Pack 3
 

15.11.2008 00:41:26

mbam-log-2008-11-15 (00-41-25).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 80957

Laufzeit: 37 minute(s), 48 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

hoffe, damit hat sich das problem erledigt?!ist den dieses qip wirklich gut, oder ist es doch sinnvoller, wieder auf icq umzusteigen?

danke nochmal :daumenhoc

lg gagsman

ach ja, das programm habe ich ende oktober heruntergeladen, falls das hilft ;)

bis denn.lg gagsman

Hi,

ob du lieber qip oder icq nutzt ist egal, du hast grad den uninstaller von qip gelöscht. Das kannst du jetzt eh nicht mehr entfernen. :blabla:

Nein, im Ernst, ich bin eher ein Freund von alternativen Messengern wie QIP, Miranda, Pigdin und Co.

Ich würde dir empfehlen die Datei wiederherzustellen und bei der nächsten Erkennung auf "Ignore" zu klicken.. danach wird die Datei von Malwarebytes nicht mehr erkannt.

lg myrtille

Hi,

es handelt sich bei der Datei um einen Fehlalarm. Der Fehlalarm sollte mit einem der nächsten Updates behoben werden. :)

Also die Datei aus der Quarantäne wiederherstellen und nach den nächsten Updates von Malwarebytes nochmal kontrollieren, ob die Datei immernoch erkannt wird.

lg myrtille

Hi,

mit der Definition 1400 erhalte ich keinen Fehlalarm mehr. Wie siehts bei dir aus?

lg myrtille

hallo.sorry, war den tag unterwegs.habe malwarebytes zwar upgedatet, aber dann ist mir aufgefallen, dass ich honk die datei in der quarantäne schon gelöscht habe :headbang: :(
mist.dann muss ich wohl für die nächste zeit definitiv mit qip leben;) oder gibt es noch ne andere lösung, die datei wieder herzustellen?
lg gagsman :schmoll:

Zitat:

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

...Java ist veraltet, ein Update sollte durchgeführt werden...

Hi,

deswegen sollte man Dateien aus der Quarantäne nicht löschen. :blabla:

Du kannst, wenn du QIP deinstallieren willst, auch einfach von Hand die Dateien und Registryeinträge löschen.
Ansonsten hilft es evtl QIP vor der Deinstallation erneut zu installieren, damit wird die Datei wieder an ihren "üblichen" Ort gepackt und du kannst anschließend problemlos deinstallieren.

Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt), alle nicht aktuelle Software bitte aktualisieren.

lg myrtille

hi :)

wieder was dazugelernt ;) danke für deine tipps.werde die seite besuchen und updates machen lassen.dann noch nen schönen sonntag.

lg gagsman