Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Verdächtige Datei (https://www.trojaner-board.de/70402-verdaechtige-datei.html)

Angelwhite 25.02.2009 13:56
Verdächtige Datei
 
Hallo ihr lieben.

Habe da ein kleines Problem, weis allerdings nicht wo es herkommt.
Anbei mal den HTJ-Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:49:11, on 25.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\DSL-Manager\DslMgrSvc.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS.0\system32\NOTEPAD.EXE
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\ICQ6\ICQ.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\TeamViewer3\TeamViewer.exe
C:\WINDOWS.0\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.toggo.de/toggo.php?url=index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS.0\system32\oodtray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe
Und zwar handelt es sich bei meinem Zweifeln um die Datei:
Code:
C:\Programme\MSN Messenger\usnsvc.exe
Welche mir recht seriös erscheint. Da ich diese zuvor noch nie gesehen habe.

Ich hoffe ihr könnt mir weiterhelfen.

Lg und danke im Voraus :)

Redwulf 25.02.2009 14:31
Lade die mal bei h**P://Virustotal.com hoch und poste das Ergebnis vollständig
hier

Angelwhite 25.02.2009 14:41
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.93        2009.02.25        -
AhnLab-V3        2009.2.24.0        2009.02.25        -
AntiVir        7.9.0.88        2009.02.25        -
Authentium        5.1.0.4        2009.02.25        -
Avast        4.8.1335.0        2009.02.25        -
AVG        8.0.0.237        2009.02.25        -
BitDefender        7.2        2009.02.25        -
CAT-QuickHeal        10.00        2009.02.25        -
ClamAV        0.94.1        2009.02.25        -
Comodo        983        2009.02.20        -
DrWeb        4.44.0.09170        2009.02.25        -
eSafe        7.0.17.0        2009.02.25        Win32.Downloader.VB.
eTrust-Vet        31.6.6374        2009.02.25        -
F-Prot        4.4.4.56        2009.02.25        -
F-Secure        8.0.14470.0        2009.02.25        -
Fortinet        3.117.0.0        2009.02.24        -
GData        19        2009.02.25        -
Ikarus        T3.1.1.45.0        2009.02.25        -
K7AntiVirus        7.10.647        2009.02.25        -
Kaspersky        7.0.0.125        2009.02.25        -
McAfee        5535        2009.02.24        -
McAfee+Artemis        5535        2009.02.24        -
Microsoft        1.4306        2009.02.25        -
NOD32        3888        2009.02.25        -
Norman        6.00.06        2009.02.24        -
nProtect        2009.1.8.0        2009.02.25        -
Panda        10.0.0.10        2009.02.25        -
PCTools        4.4.2.0        2009.02.25        -
Prevx1        V2        2009.02.25        -
Rising        21.18.22.00        2009.02.25        -
SecureWeb-Gateway        6.7.6        2009.02.25        -
Sophos        4.39.0        2009.02.25        -
Sunbelt        3.2.1856.2        2009.02.24        -
Symantec        10        2009.02.25        -
TheHacker        6.3.2.5.265        2009.02.25        -
TrendMicro        8.700.0.1004        2009.02.25        -
VBA32        3.12.10.0        2009.02.25        -
ViRobot        2009.2.25.1623        2009.02.25        -
VirusBuster        4.5.11.0        2009.02.24        -
weitere Informationen
File size: 97136 bytes
MD5...: c5b70a6aa947667ce0e5fc84a05ec8b6
SHA1..: fc018e1b0d3ec6e0b0b650ee2194b8d6602bf758
SHA256: 9bbfc601212a1091f71c66eb56cd93717ac8af067afddc10f046142d8abeb15a
SHA512: 7cea3d00dc98c9a9d026804437b55467abe3178132198942e9745f87995efe07
e5d3cb245ff2c672186ea18464ff0276c61ccf170b3e3009e4ae6df7396f58a5
ssdeep: 1536:BygAl8PIic2OD2WelU4EmiFMaskOdvttDzby/Faei:BAl8V2BKdvttDzby/
EF
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x408ed7
timedatestamp.....: 0x45b12b0f (Fri Jan 19 20:33:19 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x134d8 0x13600 6.53 6fec42ac0b539979d6f9f6afc96c8cda
.data 0x15000 0x2ddc 0x1200 2.70 f5faff6425c86ae5fad5b5cd069c85e6
.rsrc 0x18000 0x940 0xa00 3.15 1b2145c0b34a2ea2de2cf9eb82047c29

( 4 imports )
> ADVAPI32.dll: TraceMessage, RegCloseKey, RegSetValueExW, RegCreateKeyExW, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetTraceEnableFlags, GetTraceEnableLevel, GetTraceLoggerHandle, RegisterTraceGuidsW, UnregisterTraceGuids, StartServiceCtrlDispatcherW, RegOpenKeyExW, SetServiceStatus, RegisterServiceCtrlHandlerExW, DeregisterEventSource, RegisterEventSourceW, ReportEventW, ConvertSidToStringSidW, GetTokenInformation, OpenProcessToken, OpenThreadToken, FreeSid, CheckTokenMembership, ConvertStringSidToSidW, RegQueryValueExW, CryptReleaseContext, CryptGenRandom, CryptAcquireContextW, CryptDestroyHash, CryptGetHashParam, CryptHashData, CryptCreateHash
> KERNEL32.dll: LocalFree, GetLastError, InterlockedExchange, Sleep, InterlockedCompareExchange, CreateEventW, InitializeCriticalSection, DeleteCriticalSection, CloseHandle, LeaveCriticalSection, EnterCriticalSection, InterlockedIncrement, InterlockedDecrement, SetEvent, PostQueuedCompletionStatus, CreateThread, MultiByteToWideChar, LocalAlloc, GetCurrentProcess, GetCurrentThread, GetCurrentThreadId, RaiseException, CreateTimerQueueTimer, DeleteTimerQueueTimer, CreateIoCompletionPort, GetQueuedCompletionStatus, DeviceIoControl, GetVolumePathNameW, CreateFileW, GetFullPathNameW, DuplicateHandle, OpenProcess, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, GetCommandLineA, GetVersionExA, RtlUnwind, GetProcAddress, GetModuleHandleA, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, VirtualAlloc, LoadLibraryA, GetCPInfo, GetACP, GetOEMCP, SetFilePointer, GetConsoleCP, GetConsoleMode, GetLocaleInfoA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA
> ole32.dll: CoRegisterClassObject, StringFromGUID2, CoRevokeClassObject, CoUninitialize, CoInitializeEx, CoImpersonateClient, CoRevertToSelf, CoInitializeSecurity
> OLEAUT32.dll: -, -, -, -, -

( 0 exports )

Angelwhite 25.02.2009 17:24
Und nu? war die von mir gedachte datei, sorry das das obere fehlt :(

Redwulf 25.02.2009 17:58
Nu fangen wir mal an.

Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert. Du hast in deinem File schon einen Virus.

DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING MEHR

Neuaufsetzen deines System wäre der bessere und vor allem der sicherste Weg

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst.

Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen:

Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung
Download von MalwareBytes Anleitung: Malwarebytes Anti-Malware <--- dl Linkin der Erklärung

Lies dir die Anweisungen zu MalwareBytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Punkt 3.
Hiernach einen Malwarebyte Scan ( Full Scan ) und das Logfile hier posten....
Lasse zum Abschluß alle Funde löschen

Punkt 4.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Weiteres kommt dann nach diesem Logfile von mir.....:daumenhoc

Angelwhite 25.02.2009 18:05
Kann mit dem Scannen bisschen dauern bei über 150 gb :) werde den Log morgen posten. Hat letzten schon über 6 stunden gedauert.

Redwulf 25.02.2009 18:11
Arbeite bitte Punkt für Punkt ab und halte vor allem die Reihenfolge ein

:Boogie:

Angelwhite 25.02.2009 18:14
Mach ich den CCleaner und Malwarebytes Anti-Malware kenn ich ja schon ;)

Redwulf 25.02.2009 18:16
Ich sehs, aber ich bin schreibfaul :D
Bis morgen denne

Angelwhite 25.02.2009 18:57
Code:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1801
Windows 5.1.2600 Service Pack 3

25.02.2009 18:55:52
mbam-log-2009-02-25 (18-55-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 133747
Laufzeit: 45 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Auch wenn mir das ziemlich suspekt vorkommt das er so schnell war... :(
Da gabs leider/gott sei dank nix zu löschen.
Wie dem auch sei.
CCleaner - ausgeführt und probleme behoben 3 durchgänge, beim 4 fand er nichts mehr.

Redwulf 25.02.2009 19:20
Hast du die Reihenfolge eingehalten, sprich Systemwiederherstellung aus, etc ?
Poste nochmal einen Hijack

Angelwhite 25.02.2009 19:56
Ja systemwiederherstellung ist aus.

hier nochmal ein HTJ

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:55:41, on 25.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\DSL-Manager\DslMgrSvc.exe
C:\WINDOWS.0\system32\NOTEPAD.EXE
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\ICQ6\ICQ.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS.0\system32\taskmgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.toggo.de/toggo.php?url=index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS.0\system32\oodtray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe

--
End of file - 6520 bytes

Redwulf 25.02.2009 21:42
Findet Malwarebytes noch was?

Redwulf 26.02.2009 09:25
Zitat:
Zitat von Redwulf (Beitrag 416426)
Findet Malwarebytes noch was?
Stelle sicher das du einen VOLLEN Scan machst....

Angelwhite 26.02.2009 11:35
So hatte noch mal einen Scan gemacht aber wieder nur das selbe ergebnis nichts gefunden.

myrtille 26.02.2009 12:16
So um den Spass hier mal ein Ende zu machen.
Die Datei ist gutartig und gehört zu MSN wie ich unter anderem hier schonmal geschrieben habe. Da steht auch wie du den Dienst deaktivieren kannst.
Zitat:
die Dateien sind alle gutartig.usnsvc.exe (=Messenger Sharing USN Journal Reader Service) gehört zum Windows Live Messenger (=WLM).
Die zweite WindowsLiveMessengerdatei lässt sich wohl im Messenger wie folgt deaktivieren:
ADMIN TOOLS -> SERVICES -> DISABLE MESSENGER SHARING SERVICES USN JOURNAL READER SERVICE
Der Treffer von eSafe ist ein Fehlalarm.

lg myrtille

Angelwhite 26.02.2009 12:34
Die Sache, welche mich allerdings nun wundert ist, das ich diese Datei vorher noch nie beim WLM hatte :confused:.
Habe ja fast immer den taskmanager offen und diese Datei noch nie gehabt.
Auch keine updates vom WLM gemacht habe, frage ich wo diese dann so plötzlich herkam.

So dann meine 2te frage, wie kann es sein das malware anti malware nur 33 minuten für über 200 gb braucht. Ich hatte mal über 6h dran gesessen.
So also irgendwas scheint meiner meinung da nicht in ordnung. Denn normal ist das nicht. So meine Denkweise.

Lg

myrtille 26.02.2009 12:45
Hi,

Malwarebytes arbeitet "anders" als die meisten Scanner, insofern werden derartige Fragen sehr häufig gestellt. :D
Auf ihrem Forum beantworten sie derartige Fragen in der Regel sehr schnell: Die letzte (ähnliche) Frage
Im Großen und Ganzen gilt, dass sie nur Dateien scannen von denen eine Gefahr ausgehen kann, das ist ein Bruchteil der Daten, die auf deinem Rechner sind, daher sind sie soviel schneller.


Der Dienst von WLM kann von nem andern Windowsprogramm aktiviert worden sein, oder du hast Einstellungen verändert, die den Dienst benötigen. Evtl auch von den Windows Updates?
Soo genau weiß ich auch nicht, auf welchen Wegen man den Dienst aktivieren kann, dafür gibts zu viele.
Die wichtige Frage ist doch, ob du den Dienst abstellen kannst, oder? :D

lg myrtille

Angelwhite 26.02.2009 12:57
Naja, habe den WLM 8.1 auf Deutsch deine Pfad angabe kann ich so nicht ganz gebrauchen ;)

Trotz des regelmäßigen bereinigens des CCleaners (welchen ich schon lange in benutzung habe) wird mein Rechner von zeit zu zeit immer langsamer.

Defragmentieren hilft da jetzt auch schon nicht mehr groß weiter.
Weist du evtl. noch etwas?

myrtille 26.02.2009 13:21
Hi,

die Holzfällerlösung wäre folgende:
  • Start->ausführen->services.msc eingeben
  • Dort nach dem Dienst Messenger Sharing USN Journal Reader service suchen
  • Rechtsklick und Eigenschaften anwählen.
  • Unter Starttyp: deaktiviert auswählen.
  • Dann Beenden klicken.
  • bestätigen und services.msc schließen.

Das sollte den Dienst komplett ausschalten. Die Anleitung für nen deutsches WLM kann ich dir nicht geben, da ich kein deutsches XP besitze.

lg myrtille

Angelwhite 26.02.2009 13:36
Danke :) so dann denke ich mal kann das Thema hier geschlossen werden.

Redwulf 26.02.2009 22:05
Ich wunder mich nur....


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19