trojaner ? bitte hijackthis log anschauen

hans hans hansen · 07.07.2007, 22:04

moin moin,

habe folgendes problem. ich bekomme seit kurzem immer eine "Fehlermeldung" wenn ich mit der rechten maustaste auf eine *.exe datei klicke. da ist es egal welche ich nehme. ich muss nur ca. 5-7 klicks warten dann kommt die fehlermeldung wieder. und zwar mit diesem text "This file has been tampered with and MAY BE INFECTED BY A VIRUS"

hier mal mein hijackthis-Log. ich hoffe ihr koennt mir weiterhelfen. vielen dank!

Logfile of HijackThis v1.99.1
Scan saved at 21:48:54, on 07.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\Wehnus\WehnTrust\WehnServ.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\StartupMonitor.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\NetMeter\NetMeter.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\ProcessExplorerNt\procexp.exe
E:\WINDOWS\system32\rundll32.exe
E:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - E:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - E:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [WehnTrustCheck] "E:\Programme\Wehnus\WehnTrust\WehnTrust.exe" CheckSynchronize
O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [E:\Programme\NetMeter\NetMeter.exe] E:\Programme\NetMeter\NetMeter.exe
O4 - Startup: Rainlendar.lnk = E:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Verknüpfung mit procexp.lnk = E:\Programme\ProcessExplorerNt\procexp.exe
O4 - Global Startup: WehnTrust.lnk = E:\Programme\Wehnus\WehnTrust\wehntrust.exe
O8 - Extra context menu item: Download with GetRight - E:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - E:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O20 - Winlogon Notify: AutorunsDisabled - E:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - E:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - E:\WINDOWS\system32\oodag.exe
O23 - Service: WehnTrust Monitor Service (WehnServ) - Wehnus, Inc. - E:\Programme\Wehnus\WehnTrust\\WehnServ.exe

myrtille · 08.07.2007, 00:06

Hi

So direkt sehe ich keine Anzeichen für Infektion, was aber nicht viel heißen will.

Diese Programme kenne ich nicht:

Zitat:

E:\Programme\Wehnus\WehnTrust\WehnTrust.exe"
E:\Programme\ProcessExplorerNt\procexp.exe

Ich vermute mal du kennst sie und weißt ob sie vertrauenswürdig sind?

Einen guten Grund für Probleme auf deinem Rechner sehe ich allerdings:

Zitat:

O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

Mehrere Antivirenprogramme behindern sich gegenseitig und erkennen sich auch gerne mal gegenseitig als furchtbar bösen Virus.

Entscheide dich für eins, lösche das andere und melde dich dann hier wieder, ob weiterhin Probleme bestehen.

lg myrtille

hans hans hansen · 08.07.2007, 08:53

E:\Programme\Wehnus\WehnTrust\WehnTrust.exe"
E:\Programme\ProcessExplorerNt\procexp.exe

wehntrust ist ein programm das *.dll dateien und speicherblöcke zufällig vertauscht.

procexp ist aehnlich wie der taskmanager, nur genauer(uebersichtlicher). er zeigt auf einen blick, welche prozesse zu welchen programmen gehoeren.

das mit den beiden virenprogrammen weiss ich und habe antivir erst nach dem fehler installiert. hatte erst avg und dann hab ich nochmal antivir installiert und durchlaufen lassen.

sorry. finde aber gerade nicht den edit-button... daher jetzt noch was zu den fehlermeldungen....

hmmm habe eben nochmal nachgeschaut... kann es sein das ich die fehlermeldung noch bekomme, weil das ding im avg wirus vault ist ???

entschuldigt die umstaendlichkeit.

myrtille · 08.07.2007, 09:52

Ich versteh grade nicht so ganz was du damit sagen willst.

Die Bilder sagen ja auf jedenfall schonmal eins, lass bitte einmal die angemeckerten Dateien (also kernel32.dll, user32.dll, ntoskrnl, rochxp.exe, mirc.exe) bei virustotal auswerten.
(aber wenn ichs nicht besser wüßte, würde ich sagen, dass das Windowskomponenten sind!

)

Mache dann evtl noch ein eScan(Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.)
Wenn der auch nichts findet, dürftest du sauber sein.

Was ich bei google zu deinem Problem gefunden hab ist Folgendes:
Die Meldung kommt wenn der Vergleich von Datein mit ihrem erwarteten Hash/Md5-Wert nicht übereinstimmen.
Das schließt die "multiple AVP"-Problematik noch nicht aus.
Hast du Spybot auch erst installiert, nachdem die Meldungen kamen?

Falls du noch rausfinden kannst, von wem diese Popups sind (Windows, AVG, Malware,...)

lg myrtille

hans hans hansen · 08.07.2007, 11:24

Complete scanning result of "kernel32.dll", processed in VirusTotal at 07/08/2007 11:08:03 (CET).

[ file data ]
* name: kernel32.dll
* size: 1058304
* md5.: 8eea8280a1e0e794edfccad3721c7cab
* sha1: fc0460baa69f17dabc752ef5995c98866062cfc2

[ scan result ]
AhnLab-V3 2007.7.7.0/20070706 found nothing
AntiVir 7.4.0.39/20070707 found nothing
Authentium 4.93.8/20070707 found nothing
Avast 4.7.997.0/20070706 found nothing
AVG 7.5.0.476/20070707 found nothing
BitDefender 7.2/20070708 found nothing
CAT-QuickHeal 9.00/20070707 found nothing
ClamAV devel-20070416/20070707 found nothing
DrWeb 4.33/20070707 found nothing
eSafe 7.0.15.0/20070706 found nothing
eTrust-Vet 30.8.3769/20070707 found nothing
Ewido 4.0/20070708 found nothing
F-Prot 4.3.2.48/20070706 found nothing
F-Secure 6.70.13260.0/20070707 found nothing
FileAdvisor 1/20070708 found nothing
Fortinet 2.91.0.0/20070708 found nothing
Ikarus T3.1.1.8/20070708 found nothing
Kaspersky 4.0.2.24/20070708 found nothing
McAfee 5069/20070706 found nothing
Microsoft 1.2704/20070708 found nothing
NOD32v2 2384/20070708 found nothing
Norman 5.80.02/20070706 found nothing
Panda 9.0.0.4/20070707 found nothing
Sophos 4.19.0/20070706 found nothing
Sunbelt 2.2.907.0/20070707 found nothing
Symantec 10/20070708 found nothing
TheHacker 6.1.6.143/20070705 found nothing
VBA32 3.12.0.2/20070707 found nothing
VirusBuster 4.3.23:9/20070707 found nothing
Webwasher-Gateway 6.0.1/20070708 found nothing

Complete scanning result of "user32.dll", processed in VirusTotal at 07/08/2007 12:15:48 (CET).

[ file data ]
* name: user32.dll
* size: 579072
* md5.: 492e166cfd26a50fb9160db536ff7d2b
* sha1: 8f63f79cf097750fdca0caa2f816d6b7587167c1

[ scan result ]
AhnLab-V3 2007.7.7.0/20070706 found nothing
AntiVir 7.4.0.39/20070707 found nothing
Authentium 4.93.8/20070707 found nothing
Avast 4.7.997.0/20070706 found nothing
AVG 7.5.0.476/20070707 found nothing
BitDefender 7.2/20070708 found nothing
CAT-QuickHeal 9.00/20070707 found nothing
ClamAV devel-20070416/20070708 found nothing
DrWeb 4.33/20070708 found nothing
eSafe 7.0.15.0/20070706 found nothing
eTrust-Vet 30.8.3769/20070707 found nothing
Ewido 4.0/20070708 found nothing
F-Prot 4.3.2.48/20070706 found nothing
F-Secure 6.70.13260.0/20070707 found nothing
FileAdvisor 1/20070708 found nothing
Fortinet 2.91.0.0/20070708 found nothing
Ikarus T3.1.1.8/20070708 found nothing
Kaspersky 4.0.2.24/20070708 found nothing
McAfee 5069/20070706 found nothing
Microsoft 1.2704/20070708 found nothing
NOD32v2 2384/20070708 found nothing
Norman 5.80.02/20070706 found nothing
Panda 9.0.0.4/20070708 found nothing
Sophos 4.19.0/20070706 found nothing
Sunbelt 2.2.907.0/20070707 found nothing
Symantec 10/20070708 found nothing
TheHacker 6.1.6.143/20070705 found nothing
VBA32 3.12.0.2/20070707 found nothing
VirusBuster 4.3.23:9/20070707 found nothing
Webwasher-Gateway 6.0.1/20070708 found nothing

Complete scanning result of "ntoskrnl.exe", processed in VirusTotal at 07/08/2007 12:15:59 (CET).

[ file data ]
* name: ntoskrnl.exe
* size: 2182656
* md5.: 2804b72eb675cd43df7994ae4685b894
* sha1: 4537f42e7cc05b5ed9c2e8f89177e6f4465c968d

[ scan result ]
AhnLab-V3 2007.7.7.0/20070706 found nothing
AntiVir 7.4.0.39/20070707 found nothing
Authentium 4.93.8/20070707 found nothing
Avast 4.7.997.0/20070706 found nothing
AVG 7.5.0.476/20070707 found nothing
BitDefender 7.2/20070708 found nothing
CAT-QuickHeal 9.00/20070707 found nothing
ClamAV devel-20070416/20070708 found nothing
DrWeb 4.33/20070708 found nothing
eSafe 7.0.15.0/20070706 found nothing
eTrust-Vet 30.8.3769/20070707 found nothing
Ewido 4.0/20070708 found nothing
F-Prot 4.3.2.48/20070706 found nothing
F-Secure 6.70.13260.0/20070707 found nothing
FileAdvisor 1/20070708 found nothing
Fortinet 2.91.0.0/20070708 found nothing
Ikarus T3.1.1.8/20070708 found nothing
Kaspersky 4.0.2.24/20070708 found nothing
McAfee 5069/20070706 found nothing
Microsoft 1.2704/20070708 found nothing
NOD32v2 2384/20070708 found nothing
Norman 5.80.02/20070706 found nothing
Panda 9.0.0.4/20070708 found nothing
Sophos 4.19.0/20070706 found nothing
Sunbelt 2.2.907.0/20070707 found nothing
Symantec 10/20070708 found nothing
TheHacker 6.1.6.143/20070705 found nothing
VBA32 3.12.0.2/20070707 found nothing
VirusBuster 4.3.23:9/20070707 found nothing
Webwasher-Gateway 6.0.1/20070708 found nothing

die anderen beiden dateien sind geloescht. hab sie nicht mehr gefunden...

ich komm irgendwie nicht in den abgesicherten modus...

ja, habe spybot erst danach installiert.

Zitat:

Zitat von myrtille

Falls du noch rausfinden kannst, von wem diese Popups sind (Windows, AVG, Malware,...)

lg myrtille

meinst du meine screenshots?

habe mal nachgeschaut was sich fuer ne datei oeffnet, bzw was der taskmanager anzeigt wenn die fehlermeldung kommt und dabei das hier gefunden.

myrtille · 08.07.2007, 11:40

Den Screenshot ausm ersten Post meinte ich.

Mach mal einen eScan(Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.)

Aber ich glaube nicht, dass dein Problem auf Malware zurückzuführen ist. Eher ein Softwareproblem.
Hast du vllt irgendwas verändert in letzter Zeit, dass das Problem auslösen könnte?

lg myrtille

trojaner ? bitte hijackthis log anschauen

Log-Analyse und Auswertung: trojaner ? bitte hijackthis log anschauen