Trojaner trotz Neuinstallation? Was sagt ihr zu dieser .exe?

SilentOne · 22.03.2011, 21:09

Weil ich unter Windows XP einen Virus / Trojanerbefall hatte, habe ich Windows 7 Installiert und die Festplatten formatiert.

Nach der Installation sagt mir HijackThis immernoch unbekannte und gefährliche Prozesse an. Da wäre eine FlashUtil10o_ActiveX.exe

Diese hat sich direkt beim ersten Start von Windows Installiert, das Fenster ist auch vor ein paar Tagen bei meinem Xp gekommen. Und wegen dem Macromedia Logo usw. kam mir das seriös vor. Es kann sich halt "echt" sein oder "gefälscht".

Bei der Installation hat sich ein Verzeichnis gebildet C:\Windows\System32\Macromed\Flash in dem die besagte .exe zu finden ist.
Als erstes hab ich versucht zu überprüfen wie seriös diese .exe ist! Google sagt wirklich wenig über diese Datei und hat sogar einen Änderungsvorschlag (hxxp://www.google.com/search?btnG=1&pws=0&q=FlashUtil10o_ActiveX.exe).
Ich denke hacker tarnen gerne Dinge und ändern einfach mal einen Buchstaben, vielleicht hier der Fall?

Ein Virustotal scan dieser Datei sagt das sie clean sei!

Außerdem merkwürdig: "R3 - URLSearchHook: (no name) - - (no file)"
Wird als schädlich angezeigt, soll zur ICQ Toolbar gehören - wurde von mir Installiert!

Meine Fragen:

- Ist das ein verdacht auf weiteren Virenbefall?
- Kann der Trojaner irgendwo im System so verschanzt sein dass er von einer Fragmentierung und Neuinstallation nicht betroffen ist?
- Kann der Hacker vielleicht diese "Macromedia Flash Meldung" ausgelöst haben? Ich stelle mir das wie eine Art Angriff auf eine gezielte IP Adresse vor. Also der selbe PC im Internet verbunden - Meldung - Installation!

EDIT: Es ist eine unbekannte .exe dazu gekommen: "O4 - Global Startup: Anleitung.exe" - handelt es sich da um eure Scan Anleitung?

kira · 23.03.2011, 07:29

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Zitat:

Zitat von SilentOne

Außerdem merkwürdig: "R3 - URLSearchHook: (no name) - - (no file)"
Wird als schädlich angezeigt, ...

richtig angezeigt!

Zitat:

Zitat von SilentOne

soll zur ICQ Toolbar gehören - wurde von mir Installiert!

- meiste Toolbars sind grundsätzlich unerwünscht und unnötig
- ICQ:
Gilt als unsicher. ICQ hacking, Nachrichten und Passwörter auslesen nicht seltenheit! Beispiel:-> ICQ hacking - Nachrichten und Passwoerter auslesen - wie unsicher ist ICQ?

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code:

ATTFilter

R3 - URLSearchHook: (no name) - - (no file)

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

4.

Zitat:

**Vor dem Löschen temporärer Dateien sollte man unbedingt alle Anwendungen beenden!
**lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind,nicht löschbar.

Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...Inhalt markieren-> löschen

5.
Öffne CCleaner

"Cleaner"-->"Analysieren"-->Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
Starte dein System neu auf

6.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du

wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

7.
Erstelle und poste nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

gruß
Coverflow

SilentOne · 23.03.2011, 17:24

Danke für die Antwort! Super das einem hier geholfen wird

Malware Scan hat nichts gefunden, scheint soweit sauber zu sein.

Habe den

Code:

ATTFilter

R3 - URLSearchHook: (no name) - - (no file)

Prozess gefixed und nach dem Neustart wird er nichtmehr ausgeführt!

Ccleaner habe ich auch durchlaufen lassen wie beschrieben, hier die Installierten Programme:

Code:

ATTFilter

Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	21.03.2011	6,00MB	10.2.153.1
CCleaner	Piriform	22.03.2011		3.04
ERUNT 1.1j	Lars Hederer	21.03.2011		
ICQ Toolbar	ICQ	21.03.2011		3.0.0
ICQ7.4	ICQ	21.03.2011		7.4
Malwarebytes' Anti-Malware	Malwarebytes Corporation	22.03.2011	10,5MB	
Microsoft Silverlight	Microsoft Corporation	21.03.2011	20,4MB	4.0.50401.0
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	21.03.2011		6.0.1.6316
Windows Live Essentials	Microsoft Corporation	22.03.2011		15.4.3508.1109

Dazu dann die HJTScanlist:

Code:

ATTFilter

 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 
                        º                                    º 
                                    hjtscanlist v2.0              
                        º                                    º 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 

Microsoft Windows [Version 6.1.7600]
 
 
C:

  23.03.2011 15:04     C:\Windows --------- 16384   
       C:\pagefile.sys ---------    
       C:\hiberfil.sys ---------    
  23.03.2011 14:44     C:\Program Files --------- 8192   
  23.03.2011 14:37     C:\ProgramData --------- 4096   
  22.03.2011 20:01     C:\System Volume Information --------- 4096   
  22.03.2011 18:53     C:\$Recycle.Bin --------- 0   
  22.03.2011 18:52     C:\Users --------- 4096   
  22.03.2011 18:52     C:\Recovery --------- 0   
  22.03.2011 18:52     C:\Programme --------- 0   
  22.03.2011 18:52     C:\Dokumente und Einstellungen --------- 0   
  22.03.2011 18:44     C:\BOOTSECT.BAK --------- 8192   
  22.03.2011 18:44     C:\Boot --------- 4096   
  14.07.2009 05:53     C:\Documents and Settings --------- 0   
  14.07.2009 03:37     C:\PerfLogs --------- 0   
  14.07.2009 02:38     C:\bootmgr --------- 383562   
  10.06.2009 22:42     C:\config.sys --------- 10   
  10.06.2009 22:42     C:\autoexec.bat --------- 24   
----------------------------------------

 
C:\Windows

  23.03.2011 16:42     C:\Windows\bootstat.dat --------- 67584   
  23.03.2011 16:46     C:\Windows\WindowsUpdate.log --------- 1046847   
  23.03.2011 15:04     C:\Windows\setupact.log --------- 112   
  23.03.2011 15:04     C:\Windows\setuperr.log --------- 0   
  09.02.2011 15:56     C:\Windows\RtlExUpd.dll --------- 1284712   
  14.07.2009 05:54     C:\Windows\win.ini --------- 403   
  14.07.2009 05:41     C:\Windows\WindowsShell.Manifest --------- 749   
  14.07.2009 02:16     C:\Windows\twain_32.dll --------- 51200   
  14.07.2009 02:14     C:\Windows\write.exe --------- 9216   
  14.07.2009 02:14     C:\Windows\winhlp32.exe --------- 9728   
  14.07.2009 02:14     C:\Windows\twunk_32.exe --------- 31232   
  14.07.2009 02:14     C:\Windows\regedit.exe --------- 398336   
  14.07.2009 02:14     C:\Windows\notepad.exe --------- 179712   
  14.07.2009 02:14     C:\Windows\hh.exe --------- 15360   
  14.07.2009 02:14     C:\Windows\HelpPane.exe --------- 497152   
  14.07.2009 02:14     C:\Windows\fveupdate.exe --------- 13824   
  14.07.2009 02:14     C:\Windows\explorer.exe --------- 2613248   
  14.07.2009 02:14     C:\Windows\bfsvc.exe --------- 65024   
  13.07.2009 23:58     C:\Windows\mib.bin --------- 43131   
  10.06.2009 22:46     C:\Windows\system.ini --------- 219   
  10.06.2009 22:42     C:\Windows\_default.pif --------- 707   
  10.06.2009 22:42     C:\Windows\winhelp.exe --------- 256192   
  10.06.2009 22:41     C:\Windows\twunk_16.exe --------- 49680   
  10.06.2009 22:41     C:\Windows\twain.dll --------- 94784   
  10.06.2009 22:34     C:\Windows\WMSysPr9.prx --------- 316640   
  10.06.2009 22:19     C:\Windows\msdfmap.ini --------- 1405   
  10.06.2009 22:14     C:\Windows\Ultimate.xml --------- 51867   
  10.06.2009 22:14     C:\Windows\Starter.xml --------- 48201   
----------------------------------------

 
C:\Windows\System

 13.07.2009 22:41      C:\Windows\System\OLESVR.DLL --------- 24064 
 13.07.2009 22:41      C:\Windows\System\WFWNET.DRV --------- 12704 
 13.07.2009 22:41      C:\Windows\System\COMMDLG.DLL --------- 32816 
 13.07.2009 22:41      C:\Windows\System\TIMER.DRV --------- 4048 
 13.07.2009 22:41      C:\Windows\System\MMSYSTEM.DLL --------- 68992 
 13.07.2009 22:41      C:\Windows\System\mmtask.tsk --------- 1152 
 13.07.2009 22:41      C:\Windows\System\mouse.drv --------- 2032 
 13.07.2009 22:41      C:\Windows\System\vga.drv --------- 2176 
 13.07.2009 22:41      C:\Windows\System\sound.drv --------- 1744 
 13.07.2009 22:41      C:\Windows\System\keyboard.drv --------- 2000 
 13.07.2009 22:41      C:\Windows\System\SHELL.DLL --------- 5120 
 13.07.2009 22:41      C:\Windows\System\system.drv --------- 3360 
 10.06.2009 22:42      C:\Windows\System\ver.dll --------- 9008 
 10.06.2009 22:42      C:\Windows\System\olecli.dll --------- 82944 
 10.06.2009 22:42      C:\Windows\System\lzexpand.dll --------- 9936 
 10.06.2009 22:25      C:\Windows\System\stdole.tlb --------- 5532 
 10.06.2009 22:21      C:\Windows\System\msvideo.dll --------- 126912 
 10.06.2009 22:21      C:\Windows\System\mciwave.drv --------- 28160 
 10.06.2009 22:21      C:\Windows\System\mciseq.drv --------- 25264 
 10.06.2009 22:21      C:\Windows\System\mciavi.drv --------- 73376 
 10.06.2009 22:21      C:\Windows\System\avifile.dll --------- 109456 
 10.06.2009 22:21      C:\Windows\System\avicap.dll --------- 69584 
----------------------------------------

 
C:\Windows\System32

 23.03.2011 17:06     C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 --------- 12208  
 23.03.2011 17:06     C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 --------- 12208  
 23.03.2011 16:52     C:\Windows\system32\config --------- 12288  
 23.03.2011 16:47     C:\Windows\system32\perfh007.dat --------- 643628  
 23.03.2011 16:47     C:\Windows\system32\perfc009.dat --------- 103370  
 23.03.2011 16:47     C:\Windows\system32\perfc007.dat --------- 126188  
 23.03.2011 16:47     C:\Windows\system32\perfh009.dat --------- 606992  
 23.03.2011 16:47     C:\Windows\system32\PerfStringBackup.INI --------- 1472002  
 23.03.2011 16:42     C:\Windows\system32\wdi --------- 4096  
 23.03.2011 14:37     C:\Windows\system32\drivers --------- 65536  
 23.03.2011 14:34     C:\Windows\system32\catroot --------- 0  
 23.03.2011 14:34     C:\Windows\system32\catroot2 --------- 16384  
 22.03.2011 19:12     C:\Windows\system32\RTCOM --------- 0  
 22.03.2011 19:12     C:\Windows\system32\DriverStore --------- 4096  
 22.03.2011 19:09     C:\Windows\system32\restore --------- 0  
 22.03.2011 19:04     C:\Windows\system32\Macromed --------- 0  
 22.03.2011 18:59     C:\Windows\system32\CodeIntegrity --------- 0  
 22.03.2011 18:55     C:\Windows\system32\wbem --------- 65536  
 22.03.2011 18:50     C:\Windows\system32\FNTCACHE.DAT --------- 265640  
 22.03.2011 18:49     C:\Windows\system32\license.rtf --------- 57050  
 22.03.2011 18:48     C:\Windows\system32\sysprep --------- 0  
 22.02.2011 15:52     C:\Windows\system32\FMAPO.dll --------- 1730112  
 22.02.2011 13:20     C:\Windows\system32\RCoRes.dat --------- 820224  
 22.02.2011 11:16     C:\Windows\system32\RtkPgExt.dll --------- 2145896  
 18.02.2011 10:49     C:\Windows\system32\RtkAPO.dll --------- 3805288  
 17.02.2011 14:03     C:\Windows\system32\RtkApoApi.dll --------- 485992  
 16.02.2011 13:11     C:\Windows\system32\RtkCoInst.dll --------- 69224  
 02.02.2011 18:11     C:\Windows\system32\MpSigStub.exe --------- 222080  
 29.11.2010 18:48     C:\Windows\system32\WavesGUILib.dll --------- 1723536  
 29.11.2010 18:48     C:\Windows\system32\MaxxAudioRealtek.dll --------- 1439064  
 10.11.2010 02:54     C:\Windows\system32\sirenacm.dll --------- 49016  
 08.11.2010 07:31     C:\Windows\system32\RTEEP32A.dll --------- 359768  
 08.11.2010 07:31     C:\Windows\system32\RTEEL32A.dll --------- 78680  
 08.11.2010 07:31     C:\Windows\system32\RP3DHT32.dll --------- 295768  
 08.11.2010 07:31     C:\Windows\system32\RTEEG32A.dll --------- 64856  
 08.11.2010 07:31     C:\Windows\system32\RP3DAA32.dll --------- 295768  
 08.11.2010 07:31     C:\Windows\system32\RTEED32A.dll --------- 170840  
 03.11.2010 18:27     C:\Windows\system32\RTSndMgr.cpl --------- 1084008  
 03.11.2010 18:25     C:\Windows\system32\DTSSymmetryDLL.dll --------- 429160  
 03.11.2010 18:25     C:\Windows\system32\DTSVoiceClarityDLL.dll --------- 406120  
 03.11.2010 18:25     C:\Windows\system32\DTSS2SpeakerDLL.dll --------- 1132648  
 03.11.2010 18:25     C:\Windows\system32\DTSS2HeadphoneDLL.dll --------- 962664  
 03.11.2010 18:25     C:\Windows\system32\DTSLimiterDLL.dll --------- 224360  
 03.11.2010 18:25     C:\Windows\system32\DTSNeoPCDLL.dll --------- 291432  
 03.11.2010 18:25     C:\Windows\system32\DTSGFXAPONS.dll --------- 106600  
 03.11.2010 18:25     C:\Windows\system32\DTSLFXAPO.dll --------- 107112  
 03.11.2010 18:25     C:\Windows\system32\DTSGFXAPO.dll --------- 107112  
 03.11.2010 18:25     C:\Windows\system32\DTSBoostDLL.dll --------- 901224  
 03.11.2010 18:25     C:\Windows\system32\DTSGainCompensatorDLL.dll --------- 236648  
 03.11.2010 18:25     C:\Windows\system32\DTSBassEnhancementDLL.dll --------- 448616  
 02.11.2010 09:32     C:\Windows\system32\R4EEP32A.dll --------- 1705816  
 02.11.2010 09:32     C:\Windows\system32\R4EEL32A.dll --------- 96600  
 02.11.2010 09:32     C:\Windows\system32\R4EEG32A.dll --------- 61784  
 02.11.2010 09:32     C:\Windows\system32\R4EED32A.dll --------- 341848  
 02.11.2010 09:31     C:\Windows\system32\R4EEA32A.dll --------- 81240  
 03.10.2010 13:45     C:\Windows\system32\MaxxAudioAPO30.dll --------- 259928  
 27.09.2010 09:34     C:\Windows\system32\MaxxAudioAPO20.dll --------- 232792  
 21.09.2010 14:03     C:\Windows\system32\LIVESSP.DLL --------- 208768  
 22.07.2010 16:48     C:\Windows\system32\SFNHK.dll --------- 214352  
 22.07.2010 16:48     C:\Windows\system32\SFAPO.dll --------- 68944  
 22.07.2010 16:48     C:\Windows\system32\SFCOM.dll --------- 74064  
 22.07.2010 16:37     C:\Windows\system32\AERTACap.dll --------- 175200  
 11.07.2010 15:47     C:\Windows\system32\D3DCompiler_41.dll --------- 1846632  
 11.07.2010 15:47     C:\Windows\system32\d3dx10_41.dll --------- 453456  
 23.05.2010 11:15     C:\Windows\system32\WMVDECOD.DLL --------- 1619456  
 23.05.2010 11:11     C:\Windows\system32\mfreadwrite.dll --------- 196608  
 23.05.2010 11:11     C:\Windows\system32\mf.dll --------- 3181568  
 06.05.2010 17:35     C:\Windows\system32\MaxxVolumeSDAPO.dll --------- 252760  
 09.01.2010 07:52     C:\Windows\system32\cabview.dll --------- 132608  
 29.12.2009 07:55     C:\Windows\system32\wintrust.dll --------- 172032  
 04.12.2009 15:43     C:\Windows\system32\MaxxAudioAPO.dll --------- 132368  
 24.11.2009 09:55     C:\Windows\system32\SRSTSHD.dll --------- 185584  
 24.11.2009 09:55     C:\Windows\system32\SRSWOW.dll --------- 140528  
 24.11.2009 09:55     C:\Windows\system32\SRSHP360.dll --------- 173296  
 24.11.2009 09:55     C:\Windows\system32\SRSTSXT.dll --------- 345328  
 18.11.2009 18:42     C:\Windows\system32\WavesLib.dll --------- 1783056  
 18.11.2009 18:42     C:\Windows\system32\MaxxAudioEQ.dll --------- 1938704  
 17.11.2009 18:13     C:\Windows\system32\AERTARen.dll --------- 96160  
 14.07.2009 09:56     C:\Windows\system32\de-DE --------- 327680  
 14.07.2009 09:49     C:\Windows\system32\Recovery --------- 0  
 14.07.2009 09:47     C:\Windows\system32\winrm --------- 0  
 14.07.2009 09:47     C:\Windows\system32\migwiz --------- 4096  
 14.07.2009 09:47     C:\Windows\system32\oobe --------- 4096  
 14.07.2009 09:47     C:\Windows\system32\0407 --------- 0  
 14.07.2009 09:47     C:\Windows\system32\slmgr --------- 0  
 14.07.2009 09:47     C:\Windows\system32\WinBioPlugIns --------- 0  
 14.07.2009 09:47     C:\Windows\system32\Boot --------- 0  
 14.07.2009 09:47     C:\Windows\system32\XPSViewer --------- 0  
 14.07.2009 09:47     C:\Windows\system32\Setup --------- 4096  
 14.07.2009 09:47     C:\Windows\system32\migration --------- 4096  
 14.07.2009 09:47     C:\Windows\system32\Dism --------- 4096  
 14.07.2009 09:47     C:\Windows\system32\WCN --------- 0  
 14.07.2009 09:47     C:\Windows\system32\MUI --------- 0  
 14.07.2009 09:47     C:\Windows\system32\de --------- 0  
 14.07.2009 09:47     C:\Windows\system32\Printing_Admin_Scripts --------- 0  
 14.07.2009 09:47     C:\Windows\system32\com --------- 4096  
 14.07.2009 09:47     C:\Windows\system32\perfd007.dat --------- 38104  
 14.07.2009 09:47     C:\Windows\system32\perfi007.dat --------- 295922  
 14.07.2009 09:44     C:\Windows\system32\en-US --------- 4096  
 14.07.2009 05:56     C:\Windows\system32\umstartup.etl --------- 21504  
----------------------------------------

 
C:\Windows\Prefetch

----------------------------------------

 
C:\Windows\Tasks

 23.03.2011 15:04     C:\Windows\Tasks\SA.DAT --------- 6  
 14.07.2009 05:53     C:\Windows\Tasks\SCHEDLGU.TXT --------- 2392  
----------------------------------------

 
C:\Windows\Temp

----------------------------------------

 
C:\Users\KAMPFK~1\AppData\Local\Temp

 23.03.2011 17:07     C:\Users\KAMPFK~1\AppData\Local\Temp\MessengerCache --------- 4096  
 23.03.2011 17:07     C:\Users\KAMPFK~1\AppData\Local\Temp\TFR709D.tmp --------- 28670  
 23.03.2011 16:48     C:\Users\KAMPFK~1\AppData\Local\Temp\~DF942C6FEBA3ADC842.TMP --------- 32768  
 23.03.2011 16:48     C:\Users\KAMPFK~1\AppData\Local\Temp\~DF32BF047C9C03C53E.TMP --------- 24576  
 23.03.2011 16:48     C:\Users\KAMPFK~1\AppData\Local\Temp\StructuredQuery.log --------- 5499  
 23.03.2011 16:47     C:\Users\KAMPFK~1\AppData\Local\Temp\Low --------- 0  
 23.03.2011 16:47     C:\Users\KAMPFK~1\AppData\Local\Temp\~DFC72815EE17E2D6CD.TMP --------- 28672  
 23.03.2011 16:47     C:\Users\KAMPFK~1\AppData\Local\Temp\~DFA6751E94B1162AC1.TMP --------- 114688  
 23.03.2011 16:46     C:\Users\KAMPFK~1\AppData\Local\Temp\~DF6D2465D2A7176AF1.TMP --------- 32768  
 23.03.2011 16:46     C:\Users\KAMPFK~1\AppData\Local\Temp\~DFD9AD10C007912EBC.TMP --------- 512  
 23.03.2011 16:46     C:\Users\KAMPFK~1\AppData\Local\Temp\~DFEB151193B62685F7.TMP --------- 16384  
 23.03.2011 16:46     C:\Users\KAMPFK~1\AppData\Local\Temp\~DFD9F3005BF01036B3.TMP --------- 512  
 23.03.2011 16:46     C:\Users\KAMPFK~1\AppData\Local\Temp\~DF486E26073E51D6D9.TMP --------- 32768  
 23.03.2011 16:46     C:\Users\KAMPFK~1\AppData\Local\Temp\~DF817B3BF303E4678B.TMP --------- 512  
 23.03.2011 16:45     C:\Users\KAMPFK~1\AppData\Local\Temp\~DF712F9D2A15ABDB02.TMP --------- 16384  
 23.03.2011 16:43     C:\Users\KAMPFK~1\AppData\Local\Temp\msdt --------- 0  
 23.03.2011 16:42     C:\Users\KAMPFK~1\AppData\Local\Temp\WPDNSE --------- 0  
 22.03.2011 18:53     C:\Users\KAMPFK~1\AppData\Local\Temp\FXSAPIDebugLogFile.txt --------- 0  
----------------------------------------

 
C:\Program Files

 23.03.2011 14:44     C:\Program Files\CCleaner --------- 0  
 23.03.2011 14:37     C:\Program Files\Malwarebytes' Anti-Malware --------- 4096  
 22.03.2011 20:33     C:\Program Files\ERUNT --------- 4096  
 22.03.2011 19:38     C:\Program Files\ICQ7.4 --------- 12288  
 22.03.2011 19:31     C:\Program Files\ICQ6Toolbar --------- 4096  
 22.03.2011 19:31     C:\Program Files\InstallShield Installation Information --------- 4096  
 22.03.2011 19:25     C:\Program Files\Windows Live --------- 4096  
 22.03.2011 19:24     C:\Program Files\Microsoft Silverlight --------- 4096  
 22.03.2011 19:20     C:\Program Files\Common Files --------- 4096  
 22.03.2011 19:12     C:\Program Files\Temp --------- 0  
 22.03.2011 19:12     C:\Program Files\Realtek --------- 0  
 22.03.2011 18:54     C:\Program Files\avmwlanstick --------- 0  
 22.03.2011 18:52     C:\Program Files\Gemeinsame Dateien --------- 0  
 22.03.2011 18:52     C:\Program Files\Windows NT --------- 4096  
 14.07.2009 09:56     C:\Program Files\DVD Maker --------- 4096  
 14.07.2009 09:56     C:\Program Files\Windows Journal --------- 4096  
 14.07.2009 09:56     C:\Program Files\Microsoft Games --------- 4096  
 14.07.2009 09:47     C:\Program Files\Windows Mail --------- 4096  
 14.07.2009 09:47     C:\Program Files\Windows Sidebar --------- 4096  
 14.07.2009 09:47     C:\Program Files\Internet Explorer --------- 4096  
 14.07.2009 09:47     C:\Program Files\Windows Media Player --------- 4096  
 14.07.2009 09:47     C:\Program Files\Windows Photo Viewer --------- 4096  
 14.07.2009 09:47     C:\Program Files\Windows Defender --------- 4096  
 14.07.2009 05:53     C:\Program Files\Uninstall Information --------- 0  
 14.07.2009 05:52     C:\Program Files\Windows Portable Devices --------- 0  
 14.07.2009 05:52     C:\Program Files\Reference Assemblies --------- 0  
 14.07.2009 05:52     C:\Program Files\MSBuild --------- 0  
 14.07.2009 05:41     C:\Program Files\desktop.ini --------- 174  
----------------------------------------

 
C:\ProgramData\.. 

Kampfkeks    
Default    
Public    
Default User    
All Users    
desktop.ini    
----------------------------------------

 
C:\Windows\system32\drivers\etc\hosts


----------------------------------------

 

Abbildname                     PID Sitzungsname       Sitz.-Nr. Speichernutzung
========================= ======== ================ =========== ===============
System Idle Process              0 Services                   0            12 K
System                           4 Services                   0         4.784 K
smss.exe                       264 Services                   0           692 K
csrss.exe                      396 Services                   0         3.084 K
wininit.exe                    460 Services                   0         3.252 K
csrss.exe                      468 Console                    1         6.852 K
services.exe                   508 Services                   0         6.820 K
lsass.exe                      532 Services                   0         8.940 K
lsm.exe                        540 Services                   0         2.840 K
winlogon.exe                   612 Console                    1         4.476 K
svchost.exe                    676 Services                   0         6.960 K
svchost.exe                    752 Services                   0         5.568 K
svchost.exe                    840 Services                   0        15.328 K
svchost.exe                    900 Services                   0        56.192 K
svchost.exe                    940 Services                   0        29.448 K
svchost.exe                   1084 Services                   0        12.712 K
svchost.exe                   1168 Services                   0        12.004 K
spoolsv.exe                   1408 Services                   0         8.360 K
svchost.exe                   1444 Services                   0        10.952 K
ICQ Service.exe               1560 Services                   0         5.080 K
WLIDSVC.EXE                   1636 Services                   0         8.168 K
WLIDSVCM.EXE                  1732 Services                   0         2.064 K
svchost.exe                    292 Services                   0         4.164 K
svchost.exe                   2004 Services                   0        11.996 K
sppsvc.exe                    1480 Services                   0         5.872 K
svchost.exe                   1224 Services                   0        33.128 K
wmpnetwk.exe                  1508 Services                   0         8.212 K
SearchIndexer.exe             1720 Services                   0        19.096 K
taskhost.exe                   568 Console                    1         5.232 K
dwm.exe                       3580 Console                    1        24.252 K
explorer.exe                  2216 Console                    1        50.612 K
FRITZWLanMini.exe             1764 Console                    1         4.860 K
RtHDVCpl.exe                   964 Console                    1         7.948 K
msnmsgr.exe                   2636 Console                    1       100.520 K
ICQ.exe                       2640 Console                    1        72.324 K
svchost.exe                   3212 Services                   0        10.152 K
wlcomm.exe                     724 Console                    1        20.692 K
iexplore.exe                  2428 Console                    1        33.700 K
iexplore.exe                  1372 Console                    1        56.480 K
FlashUtil10o_ActiveX.exe      1220 Console                    1         4.268 K
dllhost.exe                   2164 Services                   0         4.456 K
iexplore.exe                  1100 Console                    1        50.668 K
HiJackThis204.exe             2312 Console                    1        13.312 K
notepad.exe                   1284 Console                    1         5.284 K
iexplore.exe                  3736 Console                    1        44.064 K
audiodg.exe                   2648 Services                   0        13.632 K
cmd.exe                       3996 Console                    1         2.984 K
conhost.exe                    180 Console                    1         4.392 K
SearchProtocolHost.exe        1044 Services                   0         6.112 K
SearchFilterHost.exe          3712 Services                   0         4.112 K
dllhost.exe                   1028 Console                    1         3.824 K
tasklist.exe                  2624 Console                    1         3.944 K
WmiPrvSE.exe                  2592 Services                   0         4.652 K

 
***** Ende des Scans 23.03.2011 um 17:10:50,39 ***

Hijackthis scheint soweit Clean zu sein, nach den Schritten das erste mal!

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:17:18, on 23.03.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\avmwlanstick\FRITZWLanMini.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Users\Kampfkeks\Downloads\HiJackThis204.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.4\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files\ICQ7.4\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files\ICQ7.4\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe

--
End of file - 3330 bytes

Diese FlashUtil10o_ActiveX.exe ist weg! Was ja nun einen eindeutigen Trojanerangriff war oder? Selbst nach der Neuinstallation kam eine Installationsanfrage dazu! Wie ist sowas möglich?
Hat es da jemand speziell auf mich abgesehen?

kira · 24.03.2011, 06:16

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code:

ATTFilter

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')

2.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

** Wie ist den aktuellen Zustand des Rechners? Auffälligkeiten, Probleme?

SilentOne · 24.03.2011, 15:12

Habe die zwei Prozesse gestoppt:

Code:

ATTFilter

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')

Gehören aber zu Win7, weshalb ist es besser die zu fixen?

Dieser komische
C:\Windows\system32\Macromed\Flash\FlashUtil10o_ActiveX.exe
Prozess ist immernoch da. Hijackthis kennt diesesn Prozess nicht und google meint diese Datei hat normalerweise einen anderen Namen google/FlashUtil10o_ActiveX.exe

Der Virenscan hat nichts ergeben und der PC ist zur Zeit nicht auffällig.

kira · 25.03.2011, 13:53

klar ist legitim, aber diverse weitere Probleme hervorrufen kann. Solange Du mit Deinem Rechner zufrieden bist, gibnt es eigentlich keine Grund zu fixen

Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code:

ATTFilter

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

ActiveX Komponente - bei Bedarf wird erneut installiert, ansonsten sind nur Risikofaktoren:-> Warum ist Active X gefährlich?

Trojaner trotz Neuinstallation? Was sagt ihr zu dieser .exe?

Plagegeister aller Art und deren Bekämpfung: Trojaner trotz Neuinstallation? Was sagt ihr zu dieser .exe?