Hallo.. auch ich habe mir den Dropper eingefangen.. HJT-Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:52:40, on 21.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\LClock\LClock.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
F:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 220.232.149.248 lloydstsb.co.uk
O1 - Hosts: 220.232.149.248 w*w.lloydstsb.co.uk
O1 - Hosts: 220.232.149.248 w*w.lloydstsb.com
O1 - Hosts: 220.232.149.248 w*w.lloydstsb.com
O1 - Hosts: 220.232.149.248 personal.barclays.co.uk
O1 - Hosts: 220.232.149.248 barclays.co.uk
O1 - Hosts: 220.232.149.248 w*w.barclays.co.uk
O1 - Hosts: 220.232.149.248 nwolb.com
O1 - Hosts: 220.232.149.248 hsbc.co.uk
O1 - Hosts: 220.232.149.248 w*w.hsbc.co.uk
O1 - Hosts: 220.232.149.248 abbey.com
O1 - Hosts: 220.232.149.248 w*w.abbey.com
O1 - Hosts: 220.232.149.248 w*w.abbey.co.uk
O1 - Hosts: 220.232.149.248 abbey.co.uk
O1 - Hosts: 220.232.149.248 cahoot.com
O1 - Hosts: 220.232.149.248 w*w.cahoot.com
O1 - Hosts: 220.232.149.248 w*w.cahoot.co.uk
O1 - Hosts: 220.232.149.248 cahoot.co.uk
O1 - Hosts: 220.232.149.248 w*w.co-operativebank.co.uk
O1 - Hosts: 220.232.149.248 co-operativebank.co.uk
O1 - Hosts: 220.232.149.248 w*w.co-operativebank.com
O1 - Hosts: 220.232.149.248 co-operativebank.com
O1 - Hosts: 220.232.149.248 welcome2.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 welcome6.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 welcome8.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 welcome10.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 w*w.smile.co.uk
O1 - Hosts: 220.232.149.248 smile.co.uk
O1 - Hosts: 220.232.149.248 w*w.cajamar.es
O1 - Hosts: 220.232.149.248 cajamar.es
O1 - Hosts: 220.232.149.248 w*w.cajamar.com
O1 - Hosts: 220.232.149.248 cajamar.com
O1 - Hosts: 220.232.149.248 w*w.unicaja.es
O1 - Hosts: 220.232.149.248 unicaja.es
O1 - Hosts: 220.232.149.248 w*w.unicaja.com
O1 - Hosts: 220.232.149.248 unicaja.com
O1 - Hosts: 220.232.149.248 w*w.caixagalicia.es
O1 - Hosts: 220.232.149.248 caixagalicia.es
O1 - Hosts: 220.232.149.248 w*w.caixagalicia.com
O1 - Hosts: 220.232.149.248 caixagalicia.com
O1 - Hosts: 220.232.149.248 activa.caixagalicia.es
O1 - Hosts: 220.232.149.248 w*w.caixapenedes.es
O1 - Hosts: 220.232.149.248 caixapenedes.es
O1 - Hosts: 220.232.149.248 w*w.caixapenedes.com
O1 - Hosts: 220.232.149.248 caixapenedes.com
O1 - Hosts: 220.232.149.248 w*w.caixasabadell.es
O1 - Hosts: 220.232.149.248 caixasabadell.es
O1 - Hosts: 220.232.149.248 w*w.caixasabadell.net
O1 - Hosts: 220.232.149.248 caixasabadell.net
O1 - Hosts: 220.232.149.248 w*w.cajamadrid.es
O1 - Hosts: 220.232.149.248 cajamadrid.es
O1 - Hosts: 220.232.149.248 w*w.cajamadrid.com
O1 - Hosts: 220.232.149.248 cajamadrid.com
O1 - Hosts: 220.232.149.248 w*w.ccm.es
O1 - Hosts: 220.232.149.248 ccm.es
O1 - Hosts: 220.232.149.248 w*w.haspa.de
O1 - Hosts: 220.232.149.248 haspa.de
O1 - Hosts: 220.232.149.248 ssl2.haspa.de
O1 - Hosts: 220.232.149.248 w*w.dresdner-bank.de
O1 - Hosts: 220.232.149.248 dresdner-bank.de
O1 - Hosts: 220.232.149.248 w*w.dresdner-privat.de
O1 - Hosts: 220.232.149.248 postbank.de
O1 - Hosts: 220.232.149.248 w*w.postbank.de
O1 - Hosts: 220.232.149.248 w*w.sparda-b.de
O1 - Hosts: 220.232.149.248 sparda-b.de
O1 - Hosts: 220.232.149.248 w*w.bankingonline.de
O1 - Hosts: 220.232.149.248 w*w.raiffeisenbank-erding.de
O1 - Hosts: 220.232.149.248 raiffeisenbank-erding.de
O1 - Hosts: 220.232.149.248 w*w.vr-networld-ebanking.de
O1 - Hosts: 220.232.149.248 vr-networld-ebanking.de
O1 - Hosts: 220.232.149.248 w*w.bnhof.de
O1 - Hosts: 220.232.149.248 bnhof.de
O1 - Hosts: 220.232.149.248 w*w.deutsche-bank.de
O1 - Hosts: 220.232.149.248 deutsche-bank.de
O1 - Hosts: 220.232.149.248 w*w.citibank.de
O1 - Hosts: 220.232.149.248 citibank.de
O1 - Hosts: 220.232.149.248 w*w.dkb.de
O1 - Hosts: 220.232.149.248 dkb.de
O1 - Hosts: 220.232.149.248 w*w.sparkasse-regensburg.de
O1 - Hosts: 220.232.149.248 sparkasse-regensburg.de
O1 - Hosts: 220.232.149.248 w*w.berliner-bank.de
O1 - Hosts: 220.232.149.248 berliner-bank.de
O1 - Hosts: 220.232.149.248 w*w.berliner-sparkasse.de
O1 - Hosts: 220.232.149.248 berliner-sparkasse.de
O1 - Hosts: 220.232.149.248 w*w.wellsfargo.com
O1 - Hosts: 220.232.149.248 wellsfargo.com
O1 - Hosts: 220.232.149.248 w*w.bankofamerica.com
O1 - Hosts: 220.232.149.248 bankofamerica.com
O1 - Hosts: 220.232.149.248 w*w.usbank.com
O1 - Hosts: 220.232.149.248 usbank.com
O1 - Hosts: 220.232.149.248 w*w.bankone.com
O1 - Hosts: 220.232.149.248 bankone.com
O1 - Hosts: 220.232.149.248 w*w.citibank.com
O1 - Hosts: 220.232.149.248 citibank.com
O1 - Hosts: 220.232.149.248 w*w.capitalone.co.uk
O1 - Hosts: 220.232.149.248 capitalone.co.uk
O1 - Hosts: 220.232.149.248 w*w.banesto.es
O1 - Hosts: 220.232.149.248 banesto.es
O1 - Hosts: 220.232.149.248 w*w.bancagenerali.it
O1 - Hosts: 220.232.149.248 bancagenerali.it
O1 - Hosts: 220.232.149.248 w*w.bancaintesa.it
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = F:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = F:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - h**p://w*w.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - h**p://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {A1D886C6-4039-4451-97A9-515F5BE5D4C2} (mkdplusCtrl Class) - h**p://ahnlabdownload.nefficient.co.kr/asp/cab/mkdplus.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - h**p://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c986d1f21eb89a) (gupdate1c986d1f21eb89a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 13380 bytes
         

Auffällig sind ja die ganzen Banken da drin o.O
Ich hab btw schonmal die Systemwiederherstellung deaktiviert, den Dropper mit Antivir runtergeschmissen und den PC neugestartet, (Systemwiederherstellung wieder aktiviert) den CCleaner drübergejagt und dann den HJT..

Bin ich ihn los? muss ich noch was machen?
Danke schonmal im vorraus für eventuelle Hilfe..

Edit:
Nochmal den bericht von AntiVir:

Code: Alles auswählenAufklappen

ATTFilter

Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\woymsqy.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
         

Hallo Tegrity

Lade bitte Malwarebytes und lass es nach Anleitung laufen

Irgend etwas unklar ?

ne.. danke schonmal für den tipp.
Malwarebyte läuft schon seit 25 Minuten und hat bislang nichts gefunden.
Ich poste den report wenn ich fertig bin.. k?

Edit: Er is inzwischen im system32.. dauert also nicht mehr lang..

Edit2: Windows-Partition C: ist scheinbar sauber.. 0 Infizierte Objekte

Wo kommen die Ganzen Hosts her?

Achtung:Eine Bereinigung kann sehr viel Zeit in anspruch nehmen und man kann sich nie 100%sicher sein,ob das System auch wirklich sauber ist!!

Code: Alles auswählenAufklappen

ATTFilter

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
         

ist dieser hier-->Trend Micro
Ist deine Firewall aktiv?
Lässt sich Windows updaten?
Kannst du dein AntiVir Programm updaten?

Ich würde hier neu aufsetzten empfehlen
wenn du bereinigen willst,hoffe ich,du bist dir über die Gefahren die sich dahinter befinden im klaren(OnlineBanking etc)

keine Programme downloaden oder löschen während der Reinigung
Systemwiederherstellung deaktivieren
Starte im Abgesicherten Modus(mehrmals F8 drücken beim hochfahren)
Starte HJT-->Config-->Misc Tools-->Open Hosts file Manager-->Delete line
Lösche alle Hosts
Neu starten

Start-->ausführen-->cmd(reinschreibn)-->ok
nun bist du im Dos
Hier prompt reinschreiben;sc stop MicroSoft Media Tools-->enter
sc delete MicroSoft Media Tools-->enter

Neu starten

neue Logfile posten

Wenn es Probleme gibt bitte stoppen und so genau wie möglich schildern
Nichts auf eigene Faust unternehmen

Wo die ganzen Hosts herkommen? ich habe keinen blassen Schimmer..
Das was du da in dem Code gepostet hast ist ein Wurm? o.O
Wieso hat AntiVir den nie gefunden?
Letztes Antivir-Update ist von heute.
Windows lässt sich updaten.
Firewall ist die Windows-Firewall und die ist aktiv.

Lohnt sich neu aufsetzen noch? Ich werd im April vermutlich einen neuen PC haben.. lässt sich das neu aufsetzen bis dahin aufschieben?

Und lässt sich feststellen, wie lange das Ding schon bei mir auf der festplatte wütet?

Ich würd mich mit einem Backdoor nicht spielen

Wie gesagt wir können es nicht zu 100% garantieren das wir alles weg bekommen
Verzichte auf jeden fall auf online Banking etc

Zitat:

Lohnt sich neu aufsetzen noch? Ich werd im April vermutlich einen neuen PC haben.. lässt sich das neu aufsetzen bis dahin aufschieben?

Es liegt in deinem Ermessen ob du die Reinigung durchziehst
Ich kann dich zu nichts zwingen

Zitat:

Und lässt sich feststellen, wie lange das Ding schon bei mir auf der festplatte wütet?

nicht das ich wüsste
Entfernen wir mal die ganzen Hosts
Vielleicht meldet sich jemand mit mehr Erfahrung was diesen Eintrag angeht
Ich finde keine Anzeichen darauf das dies ein Legitimer Eintrag ist

also entfern ich jetzt die Hosts und entferne die "Media Tools" ?

E: und noch eine Frage: Kann die externe Festplatte infiziert werden oder es schon sein?

richtig

Die Hosts hab ich rausgeschmissen. 127.0.0.1 hab ich drin gelassen.
In der Liste stand noch was vom Spybot search & destroy.

nun hab ich im Dos "sc stop MicroSoft Media Tools" eingegeben. er sagt:

[SC] OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.

Sollte ich die Dos-Eingabe im normalen oder im abgesicherten Modus machen?

Edit: Und noch eine Frage. Können über den Wurm meine Zugangsdaten in einem Onlinespiel eingesehen werden?

So sieht's im HJT nun aus:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:18:31, on 22.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\LClock\LClock.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\rundll32.exe
F:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = F:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = F:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - h**p://w*w.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - h**p://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {A1D886C6-4039-4451-97A9-515F5BE5D4C2} (mkdplusCtrl Class) - h**p://ahnlabdownload.nefficient.co.kr/asp/cab/mkdplus.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - h**p://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c986d1f21eb89a) (gupdate1c986d1f21eb89a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8689 bytes
         

Der

Code: Alles auswählenAufklappen

ATTFilter

 O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
         

Ist noch immer drin, wegen dem oben genannten problem..

Ich hab nen XP-Update gemacht (und kann schonwieder neue Updates laden..)

was nun?

Edit:
Ich hab AntiVir mal aggressiv eingestellt. Folgendes wurde gefunden:

Code: Alles auswählenAufklappen

ATTFilter

 C:\Windows\system32\closeapp.exe
Enthält Erkennungsmuster der Anwendung APPL/CloseApp
         

Edit2: Ich ignoriere den Fund erstmal.. Google spuckt das AntiVir-Forum aus, in dem steht dass das Programm sogenannte "Riskware" ist..

Hallo
das mit den Hosts hat ja super hingehauen

Eine version haben wir noch
Kümmern wir uns mal in ruhe um diesen Dienst
Wenn noch wo was ist das werden wir es schon noch finden aber der gehört als erstes raus

Bitte alle Schritte nacheinander abarbeiten--sollte etwas nicht funzn.stoppen und Meldung

START--> Systemsteuerung---> Verwaltung---> Dienste---> Dienststatus---> Microsoft Media Tools 'beenden' wählen--> Starttype deaktiviert auswählen von:
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)

HijackThis > misc tools > delete a file on reboot, wähle die zu löschende Datei, beantworte die Frage zum Neustart mit JA:

MSmedia.exe

fixe mit HijackThis den Eintrag

Bei dir läuft Bonjour,benötigst du es,wird von Apple ungefragt installiert.
Wenn nicht-->Systemsteuerung-->Software-->Deinstallieren

Wenn alles Klappt

Lasse Malwarebytes und SUPERAntiSpyware nach Anleitung laufen

Deaktivier dein AntiVir Programm
Dein System Online Scannen lassen bei F-Secure
Unbedingt mit IE ins netz gehen
Active X erlauben
Auf Vollständigen Scan umstellen
Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern

Vollständiger Scan mit deinem AntivirProgramm

Nächster Post

File von MBAM
File von SuperAntispywar
F-Secure Auswertung
Avira Auswertung
HJT Logfile

Also im Dienste-Fenster steht:
MicroSoft Mediatools
Status: Nichts
Autostarttyp: Deaktiviert

Das File zum löschen mit HJT finde ich nicht, C:\Windows\MSmedia.exe sehe ich da nicht.
Zum entfernen von Bonjour hab ich mal in einem anderen Thread schon nen Link zu einem Tool gesehen..

Edit: Ich habs jetzt einfach mal im Pfad eingegeben und ihn rebooten lassen. (auf dem desktop öffneten sich beim start dann 2 DOS-Fenster)
Bonjour hab ich runtergeschmissen und nu lass ich Malwarebyte drüberlaufen..

Okay Vl biste im Falschen fenster -->ich sehs ja nicht

Start-->ausführen-->service msc(reinschreiben)
Doppelklick auf MediaSoft....
Jetzt sollte Links im Fenster Dienst beenden stehen-->klicken

Danach im HJT meine Anleitung ausführen
Im Menü--->C:--->Windows--->und MSmedia suchen,exe steht nicht dabei

Start-->ausführen-->service msc führt zu: "service" konnte nicht gefunden, stellen sie sicher dass sie den Namen richtig geschrieben haben... usw.