Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.04.2008, 15:09   #1
critica01
 
Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Standard

Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!



Kriege laufend die Warnung das mein Rechner pornografische Inhalte hat. Und das ich von Spyware bedroht bin und sich Spionageprogramme auf dem Rechner befinden. Weiterhin findet Antivir zwar ein Trojaner ich kann diesen aber nicht löschen.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:18:48, on 28.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\dokumente und einstellungen\r50e\lokale einstellungen\anwendungsdaten\uhupzqg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7AC40CA3-99CB-4F50-ABD2-B9FAF455CDC0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [uhupzqg] c:\dokumente und einstellungen\r50e\lokale einstellungen\anwendungsdaten\uhupzqg.exe uhupzqg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_de.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EC51D3E-882D-4695-9F4B-5A471B21F3C2}: NameServer = 81.14.244.9 81.14.243.9
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 8654 bytes

Alt 28.04.2008, 15:17   #2
undoreal
/// AVZ-Toolkit Guru
 
Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Standard

Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!



Hallo critica.


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\dokumente und einstellungen\r50e\lokale einstellungen\anwendungsdaten\uhupzqg.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________

__________________

Alt 28.04.2008, 15:36   #3
critica01
 
Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Standard

Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!



Hallo Undoreal,

die Datei lässt sich nicht hochladen! Sobald ich die Datei öffnen und dursuchen lassen will macht er nur immer wieder das Fenster zum öffnen der Datei auf!

Gruß critica01
__________________

Alt 28.04.2008, 15:41   #4
undoreal
/// AVZ-Toolkit Guru
 
Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Standard

Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!



Kopiere einfach folgendes in das Feld neben dem Durchsuchen Button:
Zitat:
C:\dokumente und einstellungen\r50e\lokale einstellungen\anwendungsdaten\uhupzqg.exe
Danach nurnoch auf "Senden der Datei" klicken!
Nicht erst noch auf Durchsuchen.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 28.04.2008, 15:51   #5
critica01
 
Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Icon32

Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!



Achso entschuldige bitte aber ich bin kein Computerfreak
so anbei die Auswertung der Datei.

Datei uhupzqg.exe_ empfangen 2008.04.28 15:44:55 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 2/32 (6.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.25.2 2008.04.28 -
AntiVir 7.8.0.10 2008.04.28 -
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.28 -
AVG 7.5.0.516 2008.04.28 -
BitDefender 7.2 2008.04.28 -
CAT-QuickHeal 9.50 2008.04.26 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.28 -
DrWeb 4.44.0.09170 2008.04.28 -
eSafe 7.0.15.0 2008.04.27 -
eTrust-Vet 31.3.5741 2008.04.28 -
Ewido 4.0 2008.04.28 -
F-Prot 4.4.2.54 2008.04.27 -
F-Secure 6.70.13260.0 2008.04.28 -
FileAdvisor 1 2008.04.28 -
Fortinet 3.14.0.0 2008.04.28 -
Ikarus T3.1.1.26 2008.04.28 -
Kaspersky 7.0.0.125 2008.04.28 -
McAfee 5282 2008.04.25 -
Microsoft None 2008.04.22 -
NOD32v2 3059 2008.04.28 -
Norman 5.80.02 2008.04.25 -
Panda 9.0.0.4 2008.04.27 -
Prevx1 V2 2008.04.28 Heuristic: Suspicious Self Modifying EXE
Rising 20.42.01.00 2008.04.28 -
Sophos 4.28.0 2008.04.28 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.28 -
TheHacker 6.2.92.294 2008.04.26 -
VBA32 3.12.6.5 2008.04.28 -
VirusBuster 4.3.26:9 2008.04.28 -
Webwasher-Gateway 6.6.2 2008.04.28 -
weitere Informationen
File size: 344064 bytes
MD5...: 234e5ed45daa7ded8ac24ebc9927e5a7
SHA1..: 076265453c1c8eca296a6d17837656ffc0ab97aa
SHA256: 155082f670025c2ba48df38c25bc7c66c226bacc640b63c7fe7bb1dda1a1967d
SHA512: 5bc8286ead756b8e386df2a212ef693c48fcbdad097501f9fe0eeb7052a5d7be
6860fc3fdbc5178635b633bec696946d8f591293a19c5aa7a9f1f497947b1ced
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4498f0
timedatestamp.....: 0x41dd9c17 (Thu Jan 06 20:14:15 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x48a7c 0x49000 7.99 4bb3f313e039087571a4778b698349e5
.rdata 0x4a000 0x1be2 0x2000 5.19 9f89ebda0cc76041cd6f04f77d1a62a6
.data 0x4c000 0x741c 0x8000 7.66 6bd5623eaeb1bc7064c773791e1e587e

( 11 imports )
> KERNEL32.dll: SetFileAttributesW, HeapSize, SetHandleInformation, Beep, FormatMessageW, CloseHandle, GetStringTypeA, lstrcmpW, FindNextFileW, GetStringTypeExA, GetComputerNameW, GetCompressedFileSizeA, GetTapeStatus, CopyFileExW, SetConsoleActiveScreenBuffer, GetTempFileNameA, WriteProfileStringA, GetThreadTimes, GetQueuedCompletionStatus, GetLogicalDriveStringsW, SetLocalTime, AddAtomA, InterlockedDecrement, DefineDosDeviceW, ReadConsoleInputW, LocalUnlock, GlobalUnlock, GetVolumeInformationA, OpenSemaphoreA, RemoveDirectoryA, FlushFileBuffers, GetFileAttributesExW, GetThreadSelectorEntry, WaitForSingleObject, GetProcessAffinityMask, CancelWaitableTimer, GlobalAlloc, lstrcpynW, VirtualAllocEx, SetThreadPriority, SetTapeParameters, GetVersionExA, VirtualProtect, GetModuleHandleA, FillConsoleOutputAttribute, WaitCommEvent, LoadResource, GenerateConsoleCtrlEvent, LCMapStringA, CreateProcessA, SetProcessShutdownParameters, GetCommTimeouts, FlushInstructionCache, FindClose, WriteConsoleOutputW, EnterCriticalSection, OpenEventA, FileTimeToLocalFileTime, FreeLibraryAndExitThread, FindCloseChangeNotification, GetCurrentProcess, SetEnvironmentVariableW, TlsFree, InitializeCriticalSectionAndSpinCount, DebugBreak, EnumResourceNamesA, SetProcessWorkingSetSize, SetConsoleTextAttribute, GetStartupInfoA, GetVolumeInformationW, GlobalGetAtomNameW, GetStartupInfoW, SetLastError, GlobalFindAtomA, RaiseException, FreeEnvironmentStringsA, FreeConsole, VirtualAlloc, GetACP, SetThreadExecutionState, _hread, _lwrite, GetLocalTime, GetConsoleScreenBufferInfo, ConvertThreadToFiber, GetEnvironmentStringsW, TlsSetValue, CreateNamedPipeW, GetTickCount, CreateFileW, WriteTapemark, _lopen, BeginUpdateResourceA, SetConsoleWindowInfo, EscapeCommFunction, SetTapePosition, LocalFileTimeToFileTime, ResetEvent, WritePrivateProfileStringA, DeleteFiber, LocalFree, PurgeComm, GetFileAttributesW, HeapCreate, GetCurrentProcessId, ReadConsoleOutputA
> USER32.dll: SendDlgItemMessageW, SetCursor, DrawTextExW, SetWindowLongW, DialogBoxParamA, SwapMouseButton, SwitchDesktop, EnableScrollBar, CharToOemW, DestroyMenu, LoadAcceleratorsW, InvalidateRect, GetUserObjectInformationA, EndDeferWindowPos, GetClassLongA, PostQuitMessage, EndPaint, EnableWindow, GetProcessWindowStation, SetLastErrorEx, ShowCaret, EnumWindows, GetClipboardFormatNameW, UnhookWinEvent, WindowFromDC, CreateDialogParamW, CreateAcceleratorTableA, CharToOemBuffA, DestroyCaret, GetSysColorBrush, SendMessageA, GetDesktopWindow, SetDlgItemInt, GetWindowInfo, FindWindowW, GetMessageW
> GDI32.dll: CreateRectRgnIndirect, CreateEllipticRgnIndirect, ScaleViewportExtEx, CreateMetaFileW, GetClipBox, PatBlt, ExtSelectClipRgn, EndPath, CreateFontA, EndPage, CreateFontIndirectA, Chord, GetWinMetaFileBits, CreatePolyPolygonRgn, GetViewportOrgEx, StrokeAndFillPath, FrameRgn, GetRegionData, CreateEnhMetaFileA, DeleteMetaFile
> ADVAPI32.dll: RegConnectRegistryW, RegQueryInfoKeyA, RegUnLoadKeyW, GetSecurityDescriptorLength, RegisterServiceCtrlHandlerA, GetLengthSid, ReadEventLogW, EqualSid, QueryServiceConfigA, SetEntriesInAclA, OpenServiceW, CryptGetHashParam, StartServiceW, CryptSetHashParam, AbortSystemShutdownW, ChangeServiceConfigW, SetNamedSecurityInfoA, CryptHashData, AddAce, CryptVerifySignatureW, GetUserNameA, GetNamedSecurityInfoA, IsValidAcl, RegSaveKeyW, GetSecurityDescriptorSacl, RegUnLoadKeyA, CloseServiceHandle, EnumServicesStatusA, RegGetKeySecurity, RegDeleteKeyA, RegFlushKey, RegRestoreKeyW, CreateProcessAsUserW, ControlService, EnumDependentServicesA, InitializeSid
> SHELL32.dll: FindExecutableA, ShellExecuteExW, SHGetSpecialFolderLocation
> ole32.dll: CoAddRefServerProcess, ReleaseStgMedium, CoCreateInstanceEx
> OLEAUT32.dll: -, -, -
> COMCTL32.dll: ImageList_SetDragCursorImage, ImageList_Merge
> SHLWAPI.dll: StrRChrA, StrCmpNA, PathAddBackslashW, PathFileExistsW, SHCopyKeyA, StrRStrIW, PathGetDriveNumberA, SHRegCreateUSKeyW, StrChrW, StrCatW, PathCombineA, PathIsSameRootW, AssocQueryKeyW, PathIsUNCServerW, PathParseIconLocationW, PathAddBackslashA
> SETUPAPI.dll: SetupDiGetDeviceRegistryPropertyW, SetupDiGetDriverInfoDetailW, SetupDiOpenDeviceInfoW, SetupInitDefaultQueueCallback, SetupLogErrorW, SetupDiClassNameFromGuidExA, SetupDiSetDeviceRegistryPropertyA, SetupGetLineCountA, SetupGetBinaryField
> MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C76B04B5005CDCEA40F105086489FC00E6B67959


Alt 28.04.2008, 17:49   #6
undoreal
/// AVZ-Toolkit Guru
 
Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Standard

Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!



Das scheint ja was ganz neues zu sein..

Tue mal bitte folgendes:

Sende die Datei bitte als Anhang an newvirus@kaspersky.com. In die Betreffzeile kommt "new virus" und in den Text: "Please give a short Feedback about the new thread."
__________________
--> Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!

Alt 29.04.2008, 17:13   #7
critica01
 
Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Standard

Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!



Hallo Undoreal,

habe das gestern an Kaspersky geschickt.
Das kam heute als Antwort zurück.

Hello,

uhupzqg.dat, uhupzqg_navps.dat

No malicious code were found in these files.

uhupzqg.exed - Trojan.Win32.Pakes.cts

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.



Und was kann ich nun machen???????
Gruß critica1

Alt 29.04.2008, 19:40   #8
undoreal
/// AVZ-Toolkit Guru
 
Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Standard

Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!



Sauber, damit hast du "unsere Gemeinde" geholfen.
http://www.kaspersky.com/viruswatchlite?search_virus=Trojan.Win32.Pakes.cts&x=23&y=2&hour_offset=5


Fixe nun bitte folgende einträge mit HJT:

Zitat:
C:\dokumente und einstellungen\r50e\lokale einstellungen\anwendungsdaten\uhupzqg.exe
O2 - BHO: (no name) - {7AC40CA3-99CB-4F50-ABD2-B9FAF455CDC0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [uhupzqg] c:\dokumente und einstellungen\r50e\lokale einstellungen\anwendungsdaten\uhupzqg.exe uhupzqg
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_de.cab
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Zitat:
Files to delete:
c:\dokumente und einstellungen\r50e\lokale einstellungen\anwendungsdaten\uhupzqg.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).



Überprüfe danach deinen Rechner mit dem Kaspersky Online Scanner
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 29.04.2008, 20:28   #9
critica01
 
Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Standard

Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!



Hi Undoreal,

helfe doch gerne *fg den CC hab ich gestern auch schon durchlaufen lassen aber läuft jetzt auch grad nochmal. Aber ich krieg die Datei einfach nicht vom Rechner.

Das ist nun die Auswertung vom Avenger:


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\dokumente und einstellungen\r50e\lokale einstellungen\anwendungsdaten\uhupzqg.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Gruß critica01

Alt 29.04.2008, 20:42   #10
critica01
 
Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Standard

Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!



hab jetzt nochmal hijack laufen lassen anbei der neue Log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:41:03, on 29.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7AC40CA3-99CB-4F50-ABD2-B9FAF455CDC0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_de.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EC51D3E-882D-4695-9F4B-5A471B21F3C2}: NameServer = 81.14.244.9 81.14.243.9
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 8413 bytes

Alt 30.04.2008, 12:15   #11
undoreal
/// AVZ-Toolkit Guru
 
Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Standard

Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!



Versuche die verbliebenen Einträge bitte im abgesicherten Modus mit HJT zu fixen.


Abgesicherter Modus (alle Windows Versionen)


So wird der abgesicherte Modus am einfachsten aufgerufen -> KLICK MICH


Poste bitte auch noch den Bericht des Kaspersky Online Scanners-
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!
adobe, antivir, auswerten, avg, avira, bho, einstellungen, excel, explorer, google, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, log, log auswerten, microsoft, object, pornografische inhalte, shockwave, software, spyware, sweetim, system, trojaner, urlsearchhook, virus, warnung, windows, windows xp



Ähnliche Themen: Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!


  1. Könnt ihr mein HiJackThis überprüfen?
    Log-Analyse und Auswertung - 22.10.2009 (7)
  2. Könnte mir bitte jemand mein hijackthis log-file auswerten?
    Plagegeister aller Art und deren Bekämpfung - 03.09.2009 (3)
  3. Problem mit Virus.. Bitte mein Gijacjthisfile auswerten
    Log-Analyse und Auswertung - 05.02.2009 (0)
  4. Könnt ihr bitte mein Hijackthis Logfile checken
    Log-Analyse und Auswertung - 13.09.2008 (1)
  5. Mein Pc spinnt könnt ihr mir das auswerten bitte.
    Log-Analyse und Auswertung - 07.08.2008 (16)
  6. Bitte dieses Log-File auswerten, glaube hab mir was eingefangen.
    Mülltonne - 20.03.2008 (0)
  7. Könnt ihr mir bitte diesen Log auswerten?
    Log-Analyse und Auswertung - 10.03.2008 (14)
  8. Könnt Ihr mir bitte dieses File auswerten...
    Mülltonne - 09.03.2008 (0)
  9. Könnt ihr mir bitte mein HiJackThis-Logfile auswerten??
    Log-Analyse und Auswertung - 13.07.2007 (11)
  10. Könnte mir bitte Jemand mein HiJackThis Log auswerten?
    Log-Analyse und Auswertung - 05.08.2006 (31)
  11. könnt ihr mal bitte logfile auswerten
    Log-Analyse und Auswertung - 06.01.2006 (3)
  12. Könnt ihr mein Log-file mal auswerten ?
    Mülltonne - 14.10.2005 (3)
  13. [B]Könnt Ihr bitte mein Logfile auswerten? Lieben Dank!![/B]
    Log-Analyse und Auswertung - 18.02.2005 (2)
  14. Könnt Ihr mein Logfile bitte auswerten?
    Log-Analyse und Auswertung - 18.02.2005 (30)
  15. Hi Leute könnt ihr mir das bitte auswerten?
    Log-Analyse und Auswertung - 25.12.2004 (1)
  16. Könnt ihr bitte mein HJT-Logfile auswerten?
    Log-Analyse und Auswertung - 22.12.2004 (5)
  17. Könnt ihr bitte mein HIJACK Log auswerten?
    Log-Analyse und Auswertung - 05.09.2004 (9)

Zum Thema Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! - Kriege laufend die Warnung das mein Rechner pornografische Inhalte hat. Und das ich von Spyware bedroht bin und sich Spionageprogramme auf dem Rechner befinden. Weiterhin findet Antivir zwar ein Trojaner - Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus!...
Archiv
Du betrachtest: Könnt Ihr bitte mein HiJackThis Log auswerten, glaube Virus! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.