Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Explorer infiziert / jfiehayd.dll

Explorer infiziert / jfiehayd.dll


Plagegeister aller Art und deren Bekämpfung: Explorer infiziert / jfiehayd.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 11.04.2008, 17:59   #1
straffi
 
Explorer infiziert / jfiehayd.dll - Standard

Explorer infiziert / jfiehayd.dll


Moin Forum,

endlich ist es soweit: ich habe mir was eingefangen.

Symptome in der Reihenfolge der Entdeckung:
  1. Es werden keine Erweiterungen bei Dateien angezeigt.
  2. Ansicht -> Ordneroptionen im Explorer fehlt.
  3. regedit.exe => "Das bearbeiten der Registrierung wurde vom Administrator unterbunden."
Als dann auch noch eine Werbefenster des Internet Explorers auftauchte, war ich ganz baff. Ich hatte schon fast vergessen, dass der überhaupt vorhanden ist.

System:
  1. Windows XP Pro SP2 (vor ca. 2 Jahren aufgesetzt)
  2. Vista Ultimate (vor ca. 1,5 Jahren aufgesetzt)
Das Problem tritt bei XP auf.


Bisherige Vorgehensweise:

Scan mit HJT:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:29, on 11.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\hcwemMON.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe
D:\Programme\Browser\Opera9\Opera.exe
E:\Programme\Notepad++\notepad++.exe
D:\Programme\Mail\ThunderBird\thunderbird.exe
C:\DOKUME~1\****\LOKALE~1\Temp\csrssc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: C:\WINDOWS\system32\jfiehayd.dll - {c5af49a2-94f3-42bd-f434-2604812c897d} - C:\WINDOWS\system32\jfiehayd.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [hcwemMON] hcwemMON.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\Peter\LOKALE~1\Temp\csrssc.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "D:\Programme\Fiddler2\Fiddler.exe" (file missing)
O9 - Extra 'Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "D:\Programme\Fiddler2\Fiddler.exe" (file missing)
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
--
End of file - 4558 bytes
Bei den "running processes" ist mir
C:\DOKUME~1\****\LOKALE~1\Temp\csrssc.exe
aufgefallen, der unter
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\****\LOKALE~1\Temp\csrssc.exe
noch einaml auftaucht.

Desweiteren ist noch die Datei "C:\WINDOWS\system32\jfiehayd.dll" auffällig, die mehrmals auftaucht.


Ein Scan beider Dateien auf virustotal hat folgendes erbracht:

csrssc.exe
Code:
ATTFilter
Datei csrssc.exe empfangen 2008.04.11 18:12:56 (CET)
Status:    Beendet 
Ergebnis: 27/32 (84.38%) 

Antivirus	Versionletzte aktualisierung	Ergebnis
AhnLab-V3	2008.4.12.0	2008.04.11	Win-Trojan/Agent.15505.E
AntiVir	7.6.0.85	2008.04.11	TR/Downloader.Gen
Authentium	4.93.8	2008.04.11	Possibly a new variant of W32/Dlr-Trojan-Malware-based!Maximus
Avast	4.8.1169.0	2008.04.11	Win32:Agent-BSU
AVG	7.5.0.516	2008.04.11	Clicker.MCP
BitDefender	7.2	2008.04.11	Generic.Dld.AKI.E5A673CC
CAT-QuickHeal	9.50	2008.04.11	TrojanDownloader.Agent.lfo
ClamAV	0.92.1	2008.04.11	Trojan.Downloader-28032
DrWeb	4.44.0.09170	2008.04.11	Trojan.DownLoader.origin
eSafe	7.0.15.0	2008.04.09	suspicious Trojan/Worm
eTrust-Vet	31.3.5687	2008.04.10	-
Ewido	4.0	2008.04.11	-
F-Prot	4.4.2.54	2008.04.10	W32/Heuristic-119!Eldorado
F-Secure	6.70.13260.0	2008.04.11	W32/Malware
FileAdvisor	1	2008.04.11	-
Fortinet	3.14.0.0	2008.04.10	W32/Agent.LFO!tr.dldr
Ikarus	T3.1.1.26	2008.04.11	Trojan-Downloader.Win32.Agent.avf
Kaspersky	7.0.0.125	2008.04.11	Trojan-Downloader.Win32.Agent.lfo
McAfee	5272	2008.04.11	Generic AdClicker.b
Microsoft	1.3408	2008.04.11	TrojanClicker:Win32/Agent.ET
NOD32v2	3019	2008.04.11	probably a variant of Win32/TrojanDownloader.Small.CYF
Norman	5.80.02	2008.04.11	W32/Agent.EVFS
Panda	9.0.0.4	2008.04.11	Adware/Suurch
Prevx1	V2	2008.04.11	TROJAN.B
Rising	20.39.32.00	2008.04.11	-
Sophos	4.28.0	2008.04.11	Mal/Heuri-E
Sunbelt	3.0.1032.0	2008.04.08	Trojan.Dld.AKI
Symantec	10	2008.04.11	-
TheHacker	6.2.92.273	2008.04.11	Trojan/Downloader.Agent.lfo
VBA32	3.12.6.4	2008.04.06	Trojan-Downloader.Win32.Agent.lfo
VirusBuster	4.3.26:9	2008.04.11	Packed/FSG
Webwasher-Gateway	6.6.2	2008.04.11	Trojan.Downloader.Gen
weitere Informationen
File size: 15505 bytes
MD5...: da2f909ef2e015e86631de51d9b33d17
SHA1..: 5bad153acc932f1dae4882dee248d851a55141a2
SHA256: ca222b432f76039d7a24db41a9b1fe96a04adb9bb8b7cb41c0b9b235e783183d
SHA512: cbf999414ca8f506256e567d77ba380b30c73da335c7cb96d515a365a3e4ced2
ec85111db19ad452ef227593a4d0c43e3a6064fbf04a6520144303554e7b84f2
PEiD..: FSG v1.33 (Eng) -> dulek/xt
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x42b98d
timedatestamp.....: 0x21475346 (Fri Sep 11 01:35:02 1987)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
t 0x1000 0x27000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
ta 0x28000 0x4000 0x3a86 7.89 c53e08f1fb91443a72d63fb55d351d5c

( 1 imports ) 
> KERNEL32.dll: LoadLibraryA, GetProcAddress

( 0 exports ) 
packers: FSG
packers: FSG
packers: FSG
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=845D1ECC913A9CD03CD90056A888010018A4FB23

jfiehayd.dll
Code:
ATTFilter
Datei jfiehayd.dll empfangen 2008.04.11 17:12:03 (CET)
Status:    Beendet 
Ergebnis: 26/32 (81.25%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.4.12.0	2008.04.11	Win-Trojan/Xema.variant
AntiVir	7.6.0.85	2008.04.11	TR/Agent.10000.70
Authentium	4.93.8	2008.04.10	Possibly a new variant of W32/Downloader-Sml-based!Maximus
Avast	4.8.1169.0	2008.04.11	Win32:Agent-UMN
AVG	7.5.0.516	2008.04.11	Downloader.Generic6.AKSI
BitDefender	7.2	2008.04.11	Generic.Malware.dld!!.50AC358E
CAT-QuickHeal	9.50	2008.04.11	Trojan.Agent.10
ClamAV	0.92.1	2008.04.11	-
DrWeb	4.44.0.09170	2008.04.11	Trojan.DownLoader.origin
eSafe	7.0.15.0	2008.04.09	-
eTrust-Vet	31.3.5687	2008.04.10	Win32/VMalum.CDTP
Ewido	4.0	2008.04.11	Downloader.Agent.lxt
F-Prot	4.4.2.54	2008.04.10	W32/Downloader-Sml-based!Maximus
F-Secure	6.70.13260.0	2008.04.11	Trojan-Downloader.Win32.Agent.lxt
FileAdvisor	1	2008.04.11	High threat detected
Fortinet	3.14.0.0	2008.04.10	-
Ikarus	T3.1.1.26	2008.04.11	Trojan-Downloader.Win32.Agent.lxt
Kaspersky	7.0.0.125	2008.04.11	Trojan-Downloader.Win32.Agent.lxt
McAfee	5271	2008.04.10	Generic Downloader.ab
Microsoft	1.3408	2008.04.11	Trojan:Win32/Ertfor.A
NOD32v2	3019	2008.04.11	a variant of Win32/TrojanDownloader.Small.NTQ
Norman	5.80.02	2008.04.11	-
Panda	9.0.0.4	2008.04.11	Suspicious file
Prevx1	V2	2008.04.11	TROJAN.CA
Rising	20.39.32.00	2008.04.11	Trojan.DL.Small.uei
Sophos	4.28.0	2008.04.11	Mal/Emogen-G
Sunbelt	3.0.1032.0	2008.04.08	Trojan-Downloader.Gen
Symantec	10	2008.04.11	-
TheHacker	6.2.92.273	2008.04.11	-
VBA32	3.12.6.4	2008.04.06	Trojan.DownLoader
VirusBuster	4.3.26:9	2008.04.11	Trojan.DL.Small.Gen.27
Webwasher-Gateway	6.6.2	2008.04.11	Trojan.Agent.10000.70
weitere Informationen
File size: 10000 bytes
MD5...: 722dcac00dc83900ce09988e2c12376a
SHA1..: eef59db4f87f2d48dc83df429fef754d162ea6b3
SHA256: a34fbf71428432338af8c8e9953091f87ee6e8ab2435b7eddb5b2af2f8655062
SHA512: 0d933b168d80dce8d6bd62d6e44af37c262f3d34c0574a3a2e9ce95f2bcfde30
49fb951cfb60fb0a334af3525ac4044744c68fdc7ad2750b14731fcdb15cadc4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10008a30
timedatestamp.....: 0x47c578da (Wed Feb 27 14:51:06 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8000 0x1000 0xc00 7.64 f49105d7c28b028f24868d101e7dc27b
UPX2 0x9000 0x1000 0x400 2.50 717ce555dc278bc04373061031c5abe3

( 5 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect
> advapi32.dll: RegCloseKey
> urlmon.dll: URLDownloadToFileA
> user32.dll: wsprintfA
> wininet.dll: DeleteUrlCacheEntryA

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
packers: UPX
packers: UPX
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=722dcac00dc83900ce09988e2c12376a
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=46746082106A9F7927F900D40A0814000A8E3577
Die dll ist wohl der Verursacher meiner Probleme, da sie über advapi32.dll auf die Registry zugreift und mich in meinen Rechten beschränkt. (Vielleicht sollte ich sie in schäuble.dll umtaufen.)


Combofix ist erfolgreich durchgelaufen, konnte aber meine Probleme nicht lösen.
Das Logfile kommt im nächsten posting weil sonst der Text zu lang wird.


Fortsetzung folgt...

 

Themen zu Explorer infiziert / jfiehayd.dll
administrator, bho, browser, dateien, desktop, einstellungen, erweiterungen, excel, explorer, explorers, gen 2, hijack, hijackthis, hotkey, infiziert, internet, microsoft, opera, problem, programme, registry, server, software, studio, temp, vista, werbefenster, windows, windows xp, zu lang


« Explorer Startseite ändert sich bei Reboot. | Trojaner Crypt.XPACK.GEN »


Ähnliche Themen: Explorer infiziert / jfiehayd.dll


  1. Windows 7 Internet Explorer langsam Internet Explorer reagiert lahm oder gar nicht
    Log-Analyse und Auswertung - 28.05.2014 (15)
  2. Windows 7: Laptop lahmt plötzlich und Probleme mit der explorer.exe bzw dem Windowss Explorer
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. BKA Trojaner mit explorer.exe in der console ersetzt! Jetzt auch der 2 Laptop infiziert nachdem ein USB Stick eingesteckt wurde!
    Log-Analyse und Auswertung - 27.09.2012 (3)
  4. Explorer infiziert. Win32/Gataka.B Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (1)
  5. Trojanerbefall: Bundespolizei; explorer.exe infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  6. System infiziert. USB-Stick und Datensicherung auch infiziert?
    Plagegeister aller Art und deren Bekämpfung - 05.07.2011 (2)
  7. Trojaner im Computer. Combofix findet immer wieder: c:\windows\explorer.exe . . . ist infiziert!
    Log-Analyse und Auswertung - 28.09.2010 (35)
  8. Windows-Explorer funktioniert nicht mehr - explorer.exe
    Alles rund um Windows - 21.12.2009 (0)
  9. explorer.exe Attribute-Byte Archiv-Bit explorer.lnk
    Alles rund um Windows - 25.06.2009 (0)
  10. explorer.exe - Trojaner , Taskleiste & icons unsichtbar & explorer.exe verschwunden
    Plagegeister aller Art und deren Bekämpfung - 27.03.2009 (0)
  11. Explorer startet von Festplatte Datei explorer.mht
    Log-Analyse und Auswertung - 21.03.2008 (0)
  12. Explorer.exe infiziert? Hab einen zweiten explorer, der ein einziger link ist
    Mülltonne - 01.02.2008 (0)
  13. Explorer.exe infiziert???
    Log-Analyse und Auswertung - 30.09.2007 (3)
  14. Explorer / IE-Explorer startet nicht
    Log-Analyse und Auswertung - 06.10.2006 (8)
  15. Explorer.exe von Worm.Bage.n infiziert
    Log-Analyse und Auswertung - 28.05.2005 (10)
  16. explorer.exe infiziert ?
    Antiviren-, Firewall- und andere Schutzprogramme - 15.06.2004 (6)
  17. Trojan.Adclicker hat explorer.exe infiziert
    Plagegeister aller Art und deren Bekämpfung - 18.03.2004 (11)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Explorer infiziert / jfiehayd.dll - Moin Forum, endlich ist es soweit: ich habe mir was eingefangen. Symptome in der Reihenfolge der Entdeckung: Es werden keine Erweiterungen bei Dateien angezeigt. Ansicht -> Ordneroptionen im Explorer fehlt. - Explorer infiziert / jfiehayd.dll...
Archiv
Du betrachtest: Explorer infiziert / jfiehayd.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131