Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Explorer infiziert / jfiehayd.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.04.2008, 18:59   #1
straffi
 
Explorer infiziert / jfiehayd.dll - Standard

Explorer infiziert / jfiehayd.dll



Moin Forum,

endlich ist es soweit: ich habe mir was eingefangen.

Symptome in der Reihenfolge der Entdeckung:
  1. Es werden keine Erweiterungen bei Dateien angezeigt.
  2. Ansicht -> Ordneroptionen im Explorer fehlt.
  3. regedit.exe => "Das bearbeiten der Registrierung wurde vom Administrator unterbunden."
Als dann auch noch eine Werbefenster des Internet Explorers auftauchte, war ich ganz baff. Ich hatte schon fast vergessen, dass der überhaupt vorhanden ist.

System:
  1. Windows XP Pro SP2 (vor ca. 2 Jahren aufgesetzt)
  2. Vista Ultimate (vor ca. 1,5 Jahren aufgesetzt)
Das Problem tritt bei XP auf.


Bisherige Vorgehensweise:

Scan mit HJT:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:29, on 11.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\hcwemMON.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe
D:\Programme\Browser\Opera9\Opera.exe
E:\Programme\Notepad++\notepad++.exe
D:\Programme\Mail\ThunderBird\thunderbird.exe
C:\DOKUME~1\****\LOKALE~1\Temp\csrssc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: C:\WINDOWS\system32\jfiehayd.dll - {c5af49a2-94f3-42bd-f434-2604812c897d} - C:\WINDOWS\system32\jfiehayd.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [hcwemMON] hcwemMON.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\Peter\LOKALE~1\Temp\csrssc.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "D:\Programme\Fiddler2\Fiddler.exe" (file missing)
O9 - Extra 'Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "D:\Programme\Fiddler2\Fiddler.exe" (file missing)
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
--
End of file - 4558 bytes
         
Bei den "running processes" ist mir
C:\DOKUME~1\****\LOKALE~1\Temp\csrssc.exe
aufgefallen, der unter
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\****\LOKALE~1\Temp\csrssc.exe
noch einaml auftaucht.

Desweiteren ist noch die Datei "C:\WINDOWS\system32\jfiehayd.dll" auffällig, die mehrmals auftaucht.


Ein Scan beider Dateien auf virustotal hat folgendes erbracht:

csrssc.exe
Code:
ATTFilter
Datei csrssc.exe empfangen 2008.04.11 18:12:56 (CET)
Status:    Beendet 
Ergebnis: 27/32 (84.38%) 

Antivirus	Versionletzte aktualisierung	Ergebnis
AhnLab-V3	2008.4.12.0	2008.04.11	Win-Trojan/Agent.15505.E
AntiVir	7.6.0.85	2008.04.11	TR/Downloader.Gen
Authentium	4.93.8	2008.04.11	Possibly a new variant of W32/Dlr-Trojan-Malware-based!Maximus
Avast	4.8.1169.0	2008.04.11	Win32:Agent-BSU
AVG	7.5.0.516	2008.04.11	Clicker.MCP
BitDefender	7.2	2008.04.11	Generic.Dld.AKI.E5A673CC
CAT-QuickHeal	9.50	2008.04.11	TrojanDownloader.Agent.lfo
ClamAV	0.92.1	2008.04.11	Trojan.Downloader-28032
DrWeb	4.44.0.09170	2008.04.11	Trojan.DownLoader.origin
eSafe	7.0.15.0	2008.04.09	suspicious Trojan/Worm
eTrust-Vet	31.3.5687	2008.04.10	-
Ewido	4.0	2008.04.11	-
F-Prot	4.4.2.54	2008.04.10	W32/Heuristic-119!Eldorado
F-Secure	6.70.13260.0	2008.04.11	W32/Malware
FileAdvisor	1	2008.04.11	-
Fortinet	3.14.0.0	2008.04.10	W32/Agent.LFO!tr.dldr
Ikarus	T3.1.1.26	2008.04.11	Trojan-Downloader.Win32.Agent.avf
Kaspersky	7.0.0.125	2008.04.11	Trojan-Downloader.Win32.Agent.lfo
McAfee	5272	2008.04.11	Generic AdClicker.b
Microsoft	1.3408	2008.04.11	TrojanClicker:Win32/Agent.ET
NOD32v2	3019	2008.04.11	probably a variant of Win32/TrojanDownloader.Small.CYF
Norman	5.80.02	2008.04.11	W32/Agent.EVFS
Panda	9.0.0.4	2008.04.11	Adware/Suurch
Prevx1	V2	2008.04.11	TROJAN.B
Rising	20.39.32.00	2008.04.11	-
Sophos	4.28.0	2008.04.11	Mal/Heuri-E
Sunbelt	3.0.1032.0	2008.04.08	Trojan.Dld.AKI
Symantec	10	2008.04.11	-
TheHacker	6.2.92.273	2008.04.11	Trojan/Downloader.Agent.lfo
VBA32	3.12.6.4	2008.04.06	Trojan-Downloader.Win32.Agent.lfo
VirusBuster	4.3.26:9	2008.04.11	Packed/FSG
Webwasher-Gateway	6.6.2	2008.04.11	Trojan.Downloader.Gen
weitere Informationen
File size: 15505 bytes
MD5...: da2f909ef2e015e86631de51d9b33d17
SHA1..: 5bad153acc932f1dae4882dee248d851a55141a2
SHA256: ca222b432f76039d7a24db41a9b1fe96a04adb9bb8b7cb41c0b9b235e783183d
SHA512: cbf999414ca8f506256e567d77ba380b30c73da335c7cb96d515a365a3e4ced2
ec85111db19ad452ef227593a4d0c43e3a6064fbf04a6520144303554e7b84f2
PEiD..: FSG v1.33 (Eng) -> dulek/xt
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x42b98d
timedatestamp.....: 0x21475346 (Fri Sep 11 01:35:02 1987)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
t 0x1000 0x27000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
ta 0x28000 0x4000 0x3a86 7.89 c53e08f1fb91443a72d63fb55d351d5c

( 1 imports ) 
> KERNEL32.dll: LoadLibraryA, GetProcAddress

( 0 exports ) 
packers: FSG
packers: FSG
packers: FSG
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=845D1ECC913A9CD03CD90056A888010018A4FB23
         

jfiehayd.dll
Code:
ATTFilter
Datei jfiehayd.dll empfangen 2008.04.11 17:12:03 (CET)
Status:    Beendet 
Ergebnis: 26/32 (81.25%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.4.12.0	2008.04.11	Win-Trojan/Xema.variant
AntiVir	7.6.0.85	2008.04.11	TR/Agent.10000.70
Authentium	4.93.8	2008.04.10	Possibly a new variant of W32/Downloader-Sml-based!Maximus
Avast	4.8.1169.0	2008.04.11	Win32:Agent-UMN
AVG	7.5.0.516	2008.04.11	Downloader.Generic6.AKSI
BitDefender	7.2	2008.04.11	Generic.Malware.dld!!.50AC358E
CAT-QuickHeal	9.50	2008.04.11	Trojan.Agent.10
ClamAV	0.92.1	2008.04.11	-
DrWeb	4.44.0.09170	2008.04.11	Trojan.DownLoader.origin
eSafe	7.0.15.0	2008.04.09	-
eTrust-Vet	31.3.5687	2008.04.10	Win32/VMalum.CDTP
Ewido	4.0	2008.04.11	Downloader.Agent.lxt
F-Prot	4.4.2.54	2008.04.10	W32/Downloader-Sml-based!Maximus
F-Secure	6.70.13260.0	2008.04.11	Trojan-Downloader.Win32.Agent.lxt
FileAdvisor	1	2008.04.11	High threat detected
Fortinet	3.14.0.0	2008.04.10	-
Ikarus	T3.1.1.26	2008.04.11	Trojan-Downloader.Win32.Agent.lxt
Kaspersky	7.0.0.125	2008.04.11	Trojan-Downloader.Win32.Agent.lxt
McAfee	5271	2008.04.10	Generic Downloader.ab
Microsoft	1.3408	2008.04.11	Trojan:Win32/Ertfor.A
NOD32v2	3019	2008.04.11	a variant of Win32/TrojanDownloader.Small.NTQ
Norman	5.80.02	2008.04.11	-
Panda	9.0.0.4	2008.04.11	Suspicious file
Prevx1	V2	2008.04.11	TROJAN.CA
Rising	20.39.32.00	2008.04.11	Trojan.DL.Small.uei
Sophos	4.28.0	2008.04.11	Mal/Emogen-G
Sunbelt	3.0.1032.0	2008.04.08	Trojan-Downloader.Gen
Symantec	10	2008.04.11	-
TheHacker	6.2.92.273	2008.04.11	-
VBA32	3.12.6.4	2008.04.06	Trojan.DownLoader
VirusBuster	4.3.26:9	2008.04.11	Trojan.DL.Small.Gen.27
Webwasher-Gateway	6.6.2	2008.04.11	Trojan.Agent.10000.70
weitere Informationen
File size: 10000 bytes
MD5...: 722dcac00dc83900ce09988e2c12376a
SHA1..: eef59db4f87f2d48dc83df429fef754d162ea6b3
SHA256: a34fbf71428432338af8c8e9953091f87ee6e8ab2435b7eddb5b2af2f8655062
SHA512: 0d933b168d80dce8d6bd62d6e44af37c262f3d34c0574a3a2e9ce95f2bcfde30
49fb951cfb60fb0a334af3525ac4044744c68fdc7ad2750b14731fcdb15cadc4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10008a30
timedatestamp.....: 0x47c578da (Wed Feb 27 14:51:06 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8000 0x1000 0xc00 7.64 f49105d7c28b028f24868d101e7dc27b
UPX2 0x9000 0x1000 0x400 2.50 717ce555dc278bc04373061031c5abe3

( 5 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect
> advapi32.dll: RegCloseKey
> urlmon.dll: URLDownloadToFileA
> user32.dll: wsprintfA
> wininet.dll: DeleteUrlCacheEntryA

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
packers: UPX
packers: UPX
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=722dcac00dc83900ce09988e2c12376a
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=46746082106A9F7927F900D40A0814000A8E3577
         
Die dll ist wohl der Verursacher meiner Probleme, da sie über advapi32.dll auf die Registry zugreift und mich in meinen Rechten beschränkt. (Vielleicht sollte ich sie in schäuble.dll umtaufen.)


Combofix ist erfolgreich durchgelaufen, konnte aber meine Probleme nicht lösen.
Das Logfile kommt im nächsten posting weil sonst der Text zu lang wird.


Fortsetzung folgt...

Alt 11.04.2008, 19:01   #2
straffi
 
Explorer infiziert / jfiehayd.dll - Standard

Explorer infiziert / jfiehayd.dll - Teil 2



Teil 2:

Hier also die Logdatei von ComboFix:
Code:
ATTFilter
ComboFix 08-04-10.9 - **** 2008-04-11 18:28:32.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.620 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM57fc7184.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bmpabsse.ini
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\ELmSstwa.ini
C:\WINDOWS\system32\ELmSstwa.ini2
C:\WINDOWS\system32\ijsqeowu.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\SBHiknpo.ini
C:\WINDOWS\system32\SBHiknpo.ini2
C:\WINDOWS\system32\urqPfFwU.dll
C:\WINDOWS\system32\xxyabxWQ.dll
J:\RECYCLER\mxfilerelatedcache.mxc2

.
(((((((((((((((((((((((   Dateien erstellt von 2008-03-11 bis 2008-04-11  ))))))))))))))))))))))))))))))
.

2008-04-11 15:23 . 2008-04-11 15:23	<DIR>	d--------	C:\Programme\Lavasoft
2008-04-11 15:23 . 2008-04-11 17:31	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-04-11 14:57 . 2008-04-11 14:57	<DIR>	d--------	C:\Programme\Safer Networking
2008-04-11 12:56 . 2008-04-11 14:37	499	--a------	C:\WINDOWS\wininit.ini
2008-04-11 12:30 . 2008-04-11 12:37	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-04-11 12:30 . 2008-04-11 12:53	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-11 12:18 . 2008-04-11 12:18	3,648	--a------	C:\WINDOWS\system32\hdoxquyv.dll
2008-04-11 12:12 . 2008-04-11 12:12	3,648	--a------	C:\WINDOWS\system32\iwmgcntr.dll
2008-04-11 12:11 . 2008-04-11 12:11	3,648	--a------	C:\WINDOWS\system32\svsomjel.dll
2008-04-11 11:51 . 2008-04-11 11:51	3,648	--a------	C:\WINDOWS\system32\wtukcyqv.dll
2008-04-11 10:38 . 2008-04-11 10:38	3,648	--a------	C:\WINDOWS\system32\ypeselpg.dll
2008-04-11 09:36 . 2008-04-11 09:36	3,648	--a------	C:\WINDOWS\system32\wvvflodf.dll
2008-04-11 08:56 . 2008-04-11 08:57	<DIR>	d--------	C:\fabrikam
2008-04-10 21:23 . 2008-04-10 21:23	58,880	--a------	C:\evaqwp.exe
2008-04-10 21:23 . 2008-04-10 21:23	55,218	--a------	C:\WINDOWS\zeqbqwp.sys
2008-04-10 21:23 . 2008-04-10 21:23	54,272	--a------	C:\WINDOWS\system32\ldprt5.exe
2008-04-10 21:23 . 2008-04-10 21:23	10,000	--a------	C:\WINDOWS\system32\jfiehayd.dll
2008-04-10 21:23 . 2008-04-10 21:23	705	--a------	C:\d1.exe
2008-04-10 21:23 . 2008-04-10 21:23	2	--a------	C:\1422869175
2008-04-10 20:59 . 2008-04-10 20:59	<DIR>	d--h-----	C:\WINDOWS\$hf_mig$
2008-04-10 20:55 . 2008-04-10 20:55	<DIR>	d--------	C:\Programme\Microsoft File Transfer Manager
2008-04-10 19:19 . 2008-04-10 19:19	<DIR>	d--------	C:\Dokumente und Einstellungen\****\Anwendungsdaten\LINQPad
2008-04-10 19:19 . 2008-04-10 19:19	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LINQPad
2008-04-10 06:36 . 2008-04-10 06:36	<DIR>	d--------	C:\Dokumente und Einstellungen\****\Anwendungsdaten\Wildlife_Trusts
2008-04-10 05:32 . 2008-04-10 05:32	<DIR>	d--------	C:\Programme\UltiDev
2008-04-10 05:32 . 2008-04-10 05:32	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UltiDev
2008-04-04 17:43 . 2008-04-04 17:43	<DIR>	d--------	C:\Programme\Microsoft Silverlight 2.0
2008-03-23 09:30 . 2008-03-23 09:30	<DIR>	d--------	C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Kaxaml
2008-03-23 09:29 . 2008-03-23 09:29	169	--a------	C:\WINDOWS\system32\default2.backup
2008-03-23 09:28 . 2008-03-23 09:28	169	--a------	C:\WINDOWS\system32\default1.backup
2008-03-23 09:24 . 2008-03-23 09:28	2,210	--a------	C:\WINDOWS\system32\default.backup
2008-03-19 11:49 . 2008-03-19 11:49	<DIR>	d--------	C:\usr

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-06 17:01	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\MySQL
2008-04-05 10:54	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-04-05 09:15	---------	d-----w	C:\Programme\Microsoft Silverlight
2008-04-04 15:43	---------	d-----w	C:\Programme\Microsoft SDKs
2008-04-01 11:25	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\OpenOffice.org2
2008-03-25 02:33	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-03-18 15:05	---------	d-----w	C:\Programme\Microsoft SQL Server
2008-03-10 04:09	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\SpaceTime 3D
2008-02-14 19:42	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\MySQL
2006-10-03 07:37	357	----a-w	C:\Dokumente und Einstellungen\****\.cb_layout.bin
2005-05-13 16:12	217,073	--sha-r	C:\WINDOWS\meta4.exe
2001-08-18 12:00	94,800	--sh--w	C:\WINDOWS\twain.dll
2004-08-03 22:57	50,688	--sh--w	C:\WINDOWS\twain_32.dll
2005-07-14 11:31	27,648	--sha-r	C:\WINDOWS\system32\AVSredirect.dll
2001-02-08 12:52	24,576	--sha-w	C:\WINDOWS\system32\comsysh.exe
2005-06-26 14:32	616,448	--sha-r	C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37	45,568	--sha-r	C:\WINDOWS\system32\cygz.dll
2004-01-24 23:00	70,656	--sha-r	C:\WINDOWS\system32\i420vfw.dll
2004-08-03 22:57	1,028,096	--sh--w	C:\WINDOWS\system32\mfc42.dll
2004-08-03 22:57	54,784	--sh--w	C:\WINDOWS\system32\msvcirt.dll
2004-08-03 22:57	413,696	--sh--w	C:\WINDOWS\system32\msvcp60.dll
2004-08-03 22:57	343,040	--sh--w	C:\WINDOWS\system32\msvcrt.dll
2004-08-03 22:57	553,472	--sh--w	C:\WINDOWS\system32\oleaut32.dll
2004-08-03 22:57	83,456	--sh--w	C:\WINDOWS\system32\olepro32.dll
2004-08-03 22:58	12,288	--sh--w	C:\WINDOWS\system32\regsvr32.exe
2005-02-28 12:16	240,128	--sha-r	C:\WINDOWS\system32\x.264.exe
2004-01-24 23:00	70,656	--sha-r	C:\WINDOWS\system32\yv12vfw.dll
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c5af49a2-94f3-42bd-f434-2604812c897d}]
2008-04-10 21:23	10000	--a------	C:\WINDOWS\system32\jfiehayd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@={30351346-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@={30351347-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@={30351348-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@={3035134B-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@={3035134C-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@={3035134D-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@={3035134E-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2006-09-16 11:58	536576	--a------	C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2006-09-16 11:58	536576	--a------	C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2006-09-16 11:58	536576	--a------	C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2006-09-16 11:58	536576	--a------	C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2006-09-16 11:58	536576	--a------	C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2006-09-16 11:58	536576	--a------	C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2006-09-16 11:58	536576	--a------	C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 15:43 45056]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 22:42 77824 C:\WINDOWS\SOUNDMAN.EXE]
"BootSkin Startup Jobs"="C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" [2004-04-26 16:21 270336]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 18:38 987187]
"CoolSwitch"="C:\WINDOWS\system32\taskswitch.exe" [2002-03-19 18:30 45632]
"hcwemMON"="hcwemMON.exe" [2007-03-29 23:22 61440 C:\WINDOWS\hcwemMON.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{C5AF49A2-94F3-42BD-F434-2604812C897D}"= C:\WINDOWS\system32\jfiehayd.dll [2008-04-10 21:23 10000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"GrooveMonitor"="D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"D:\\Programme\\Netz\\LeechFTP\\Leechftp.exe"=
"D:\\Programme\\Browser\\Opera\\Opera.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\WINDOWS\\system32\\mqsvc.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"D:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"D:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"D:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\windows\\system32\\ldprt5.exe"=

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]
R1 SSHDRV79;SSHDRV79;C:\WINDOWS\system32\drivers\SSHDRV79.sys [2007-01-07 18:52]
R2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);C:\WINDOWS\system32\inetsrv\inetinfo.exe [2004-08-04 00:57]
R2 SQLWriter;SQL Server VSS Writer;"C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2007-02-10 06:29]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2006-03-18 21:36]
S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader;C:\WINDOWS\system32\DRIVERS\TwkUsb2K.sys []
S3 o1394bul;o1394bul;C:\DOKUME~1\****\LOKALE~1\Temp\o1394bul.sys []
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-10-01 14:37]
S3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;C:\WINDOWS\system32\DRIVERS\TWKSER2K.sys []
S3 USB28xxBGA;WinTV HVR-900;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2007-01-30 03:20]
S3 USB28xxOEM;WinTV OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2007-01-30 03:19]
S4 Apache2.2;Apache2.2;"D:\Programme\Apache\Apache2.2\bin\httpd.exe" -k runservice []
S4 msvsmon90;Visual Studio 2008 Remote Debugger;"D:\Programme\Microsoft Visual Studio 9.0\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon90 []
S4 MySQL5;MySQL5;"E:\DEV\DB\mysql\bin\mysqld-nt" --defaults-file="E:\DEV\DB\mysql\my.ini" MySQL5 []
S4 MySQL501;MySQL501;"D:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt" --defaults-file="D:\Programme\MySQL\MySQL Server 5.0\my.ini" MySQL501 []
S4 UltiDev Cassini Web Server for ASP.NET 2.0;UltiDev Cassini Web Server for ASP.NET 2.0;"C:\Programme\UltiDev\Cassini Web Server for ASP.NET 2.0\UltiDevCassinWebServer2a.exe" [2007-02-08 00:06]


.
Inhalt des "geplante Tasks" Ordners
"2008-04-11 10:00:00 C:\WINDOWS\Tasks\Befehlszeile.job"
- C:\WINDOWS\system32\cmd.exe /k chcp 1252 && set PGPORT=5432
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-11 18:32:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MySQL5]
"ImagePath"="\"E:\DEV\DB\mysql\bin\mysqld-nt\" --defaults-file=\"E:\DEV\DB\mysql\my.ini\" MySQL5"

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MySQL501]
"ImagePath"="\"D:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"D:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL501"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Programme\TortoiseSVN\iconv\_tbl_simple.so
-> C:\Programme\TortoiseSVN\iconv\windows-1252.so
-> C:\Programme\TortoiseSVN\iconv\utf-8.so
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\scardsvr.exe
C:\WINDOWS\system32\msdtc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-11 18:35:12 - machine was rebooted
ComboFix-quarantined-files.txt  2008-04-11 16:35:07
              11 Verzeichnis(se),  4,235,898,880 Bytes frei
              16 Verzeichnis(se),  4,090,843,136 Bytes frei
         


Wenn noch weitere Informationen benötigt werden, einfach bescheid sagen.



mfg straffi
__________________


Alt 14.04.2008, 15:22   #3
virus
Gast
 
Explorer infiziert / jfiehayd.dll - Standard

Explorer infiziert / jfiehayd.dll



Hi

Was bitte schön hast du mit deinem System angestellt
Da hats ja ne Menge an ******** drauf.

Bitte fixe einmal folgende Einträge:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "D:\Programme\Fiddler2\Fiddler.exe" (file missing)

O9 - Extra 'Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "D:\Programme\Fiddler2\Fiddler.exe" (file missing)



Lasse bitte folgende Dateien hier online scanne und poste den Report:

C:\WINDOWS\hcwemMON.exe
C:\WINDOWS\system32\hdoxquyv.dll
C:\WINDOWS\system32\iwmgcntr.dll
C:\WINDOWS\system32\svsomjel.dll
C:\WINDOWS\system32\wtukcyqv.dll
C:\WINDOWS\system32\ypeselpg.dll
C:\WINDOWS\system32\wvvflodf.dll
C:\fabrikam
C:\evaqwp.exe
C:\WINDOWS\zeqbqwp.sys
C:\WINDOWS\system32e\ldprt5.xe
C:\d1.exe
C:\1422869175
c:\\windows\\system32\\ldprt5.exe


Lass bitte Malwarebytes (Link in meiner Signatur) laufen und poste den Report Lass alle infizierten Datein löschen

Aber eigentlich würde ich dir Neuaufsetzen raten
__________________

Geändert von virus (14.04.2008 um 15:29 Uhr)

Antwort

Themen zu Explorer infiziert / jfiehayd.dll
administrator, bho, browser, dateien, desktop, einstellungen, erweiterungen, excel, explorer, explorers, gen 2, hijack, hijackthis, hotkey, infiziert, internet, microsoft, opera, problem, programme, registry, server, software, studio, temp, vista, werbefenster, windows, windows xp, zu lang



Ähnliche Themen: Explorer infiziert / jfiehayd.dll


  1. Windows 7 Internet Explorer langsam Internet Explorer reagiert lahm oder gar nicht
    Log-Analyse und Auswertung - 28.05.2014 (15)
  2. Windows 7: Laptop lahmt plötzlich und Probleme mit der explorer.exe bzw dem Windowss Explorer
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. BKA Trojaner mit explorer.exe in der console ersetzt! Jetzt auch der 2 Laptop infiziert nachdem ein USB Stick eingesteckt wurde!
    Log-Analyse und Auswertung - 27.09.2012 (3)
  4. Explorer infiziert. Win32/Gataka.B Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (1)
  5. Trojanerbefall: Bundespolizei; explorer.exe infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  6. System infiziert. USB-Stick und Datensicherung auch infiziert?
    Plagegeister aller Art und deren Bekämpfung - 05.07.2011 (2)
  7. Trojaner im Computer. Combofix findet immer wieder: c:\windows\explorer.exe . . . ist infiziert!
    Log-Analyse und Auswertung - 28.09.2010 (35)
  8. Windows-Explorer funktioniert nicht mehr - explorer.exe
    Alles rund um Windows - 21.12.2009 (0)
  9. explorer.exe Attribute-Byte Archiv-Bit explorer.lnk
    Alles rund um Windows - 25.06.2009 (0)
  10. explorer.exe - Trojaner , Taskleiste & icons unsichtbar & explorer.exe verschwunden
    Plagegeister aller Art und deren Bekämpfung - 27.03.2009 (0)
  11. Explorer startet von Festplatte Datei explorer.mht
    Log-Analyse und Auswertung - 21.03.2008 (0)
  12. Explorer.exe infiziert? Hab einen zweiten explorer, der ein einziger link ist
    Mülltonne - 01.02.2008 (0)
  13. Explorer.exe infiziert???
    Log-Analyse und Auswertung - 30.09.2007 (3)
  14. Explorer / IE-Explorer startet nicht
    Log-Analyse und Auswertung - 06.10.2006 (8)
  15. Explorer.exe von Worm.Bage.n infiziert
    Log-Analyse und Auswertung - 28.05.2005 (10)
  16. explorer.exe infiziert ?
    Antiviren-, Firewall- und andere Schutzprogramme - 15.06.2004 (6)
  17. Trojan.Adclicker hat explorer.exe infiziert
    Plagegeister aller Art und deren Bekämpfung - 18.03.2004 (11)

Zum Thema Explorer infiziert / jfiehayd.dll - Moin Forum, endlich ist es soweit: ich habe mir was eingefangen. Symptome in der Reihenfolge der Entdeckung: Es werden keine Erweiterungen bei Dateien angezeigt. Ansicht -> Ordneroptionen im Explorer fehlt. - Explorer infiziert / jfiehayd.dll...
Archiv
Du betrachtest: Explorer infiziert / jfiehayd.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.