Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Plötzlich Pc infiziert

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.09.2008, 14:19   #1
sauron66
Gesperrt
 
Plötzlich Pc infiziert - Standard

Plötzlich Pc infiziert



Hi. Ich habe mir eben bei chip.de ein mal den Adobe Reader lite, und ein anderes Programm zum lesen von PDF Dateien heruntergeladen. Danach habe ich wie jeden Tag den Scan mit MalwarebytesAntiMaleware gemacht. Bisher wurde nie etwas gefunden alles war sauber. Dann gucke ich nach ein paar Minuten auf meinen Bildschirm und auf einmal steht da schon Infizierte Objekte. Der Scan läuft noch, ich reiche das Logfile von Malwarebytes gleich nach. Aber vielleicht könntet ihr das das Logfile von HijackThis schon mal untersuchen. Ich habe Windows XP SP3, McAfee, und benutze Firefox. Der PC wurde vor ca. 1,5 Monaten erst neu aufgesetzt. Windowsupdates sind alle drauf.

Ich kann mir gar nicht erkären wo das aufeinmal alles herkommt. Gestern habe ich keinen Scan gemacht, aber vorgestern noch war alles in Ordnung. Und auch heute merke ich keinerlei beeinträchtigungen.
Hier ist das HijackThis File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:08:05, on 05.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
c:\PROGRA~1\mcafee\msc\mcuimgr.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HiJackThis202.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1216813921183
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe

--
End of file - 6881 bytes

Alt 05.09.2008, 14:47   #2
sauron66
Gesperrt
 
Plötzlich Pc infiziert - Standard

Plötzlich Pc infiziert



So, hier ist das Logfile von Malwarbytes. Alles Infizierte sind Adware.BHO
Habe jetzt alles in Quarantäne verschoben. Was soll ich als nächstes machen?

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1116
Windows 5.1.2600 Service Pack 3

05.09.2008 14:45:40
mbam-log-2008-09-05 (14-45-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 109894
Laufzeit: 40 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
__________________


Alt 05.09.2008, 15:19   #3
sauron66
Gesperrt
 
Plötzlich Pc infiziert - Standard

Plötzlich Pc infiziert



So langsam glaube ich, dass das ein Fehler von Malwarbytes ist, oder mit dem Update zusammenhängt. Ich habe gerade den Malwarebytesscan auf dem PC von meinem Vater gemacht, und dort wurden haargenau die gleine Sachen als infiziert angezeigt. Habe die infizierte Datei C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) mal bei Jottis Scan hochgeladen, und es wurde kein Virus gefunden. Bei Virus Total wird es einmal als Virus gelistet: Fortinet 3.14.0.0 2008.09.03 Adware/Softomate. Hier naochmal das MalwarbytesLog meines Vaters:
Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1116
Windows 5.1.2600 Service Pack 3

05.09.2008 15:16:40
mbam-log-2008-09-05 (15-16-40).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|E:\|F:\|)
Durchsuchte Objekte: 14822
Laufzeit: 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

Ich kann mir einfach nicht erklären wie innerhalb von einem Tag 11 Infizierte Objekte entstehen, und dann auf 2 PCs genau die gleichen, und das nach dem neuestem Update von malware bytes.

Edit:
Adware.BHO sind doch Viren die Werbung erzeugen oder? Allerdings wir keinerlei Werbung angezeigt, auf beiden PCs nicht. Ich hoffe ihr könnt schnell antworten,
DAnke schon mal,
Sauron66
__________________

Geändert von sauron66 (05.09.2008 um 15:25 Uhr)

Alt 05.09.2008, 16:50   #4
nochdigger
 
Plötzlich Pc infiziert - Standard

Plötzlich Pc infiziert



Hallo

vorweg, dein Log sieht gut aus.
Ich denke Malwarebytes ist ein wenig übereifrig in Bezug auf die ICQ Toolbar gewesen, man möge mich berichtigen, wenn ich mich täuschen sollte.

Mir ist nicht bekannt, dass die Toolbar so richtig bösartig ist, diese Toolbars sind häufig Dreingaben von Programmen die Askbar z.B. von Nero usw..
Die Toolbar ist demontiert was der Geschwindigkeit deines Browsers sicherlich keinen Abbruch tut.
Ich denke du hast kein Malwareproblem.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 05.09.2008, 16:56   #5
sauron66
Gesperrt
 
Plötzlich Pc infiziert - Standard

Plötzlich Pc infiziert



Danke für die Antwort. Dann kann ich ja erstmal beruhigt sein. Dann scheint das wirklich mit dem neuem Update zutun zu haben. Weil die Toolbars ja schon länger auf den PCs sind . Also stammt alles auch die Regestrierungseinträge von der Toolbar?
LG,
Saruon66


Antwort

Themen zu Plötzlich Pc infiziert
adobe, auf einmal, bho, bildschirm, bonjour, chip.de, desktop, dll, einstellungen, explorer, firewall, hijack, hijackthis, hkus\s-1-5-18, infiziert, infizierte, internet, internet explorer, logfile, malwarebytes' anti-malware, mozilla, pc infiziert, programm, rundll, scan, siteadvisor, software, system, urlsearchhook, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Plötzlich Pc infiziert


  1. PC hat plötzlich 2 IP Adressen
    Netzwerk und Hardware - 03.06.2015 (21)
  2. Pc stürtzt plötzlich ab
    Log-Analyse und Auswertung - 15.11.2013 (18)
  3. PC plötzlich langsamer
    Alles rund um Windows - 24.03.2013 (0)
  4. !!PC plötzlich instabil!!
    Plagegeister aller Art und deren Bekämpfung - 22.02.2013 (17)
  5. PC plötzlich verlangsamt
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (32)
  6. System infiziert. USB-Stick und Datensicherung auch infiziert?
    Plagegeister aller Art und deren Bekämpfung - 05.07.2011 (2)
  7. Pc ist plötzlich langsam.
    Log-Analyse und Auswertung - 05.01.2011 (1)
  8. PC geht plötzlich aus!
    Plagegeister aller Art und deren Bekämpfung - 10.06.2009 (2)
  9. PC stürzt plötzlich ab- HJT-Log
    Log-Analyse und Auswertung - 11.02.2009 (1)
  10. pc plötzlich langsam
    Mülltonne - 16.12.2008 (0)
  11. Plötzlich Pc infiziert II
    Plagegeister aller Art und deren Bekämpfung - 09.09.2008 (6)
  12. 3 Trojaner...plötzlich weg???
    Plagegeister aller Art und deren Bekämpfung - 22.09.2007 (1)
  13. PC startet plötzlich neu
    Log-Analyse und Auswertung - 13.09.2007 (2)
  14. PC plötzlich lahm
    Log-Analyse und Auswertung - 14.04.2006 (6)
  15. Favoriten im IE plötzlich weg
    Log-Analyse und Auswertung - 09.11.2005 (2)
  16. plötzlich was auf deskop
    Plagegeister aller Art und deren Bekämpfung - 11.06.2005 (2)
  17. plötzlich pop-ups?
    Plagegeister aller Art und deren Bekämpfung - 11.02.2004 (5)

Zum Thema Plötzlich Pc infiziert - Hi. Ich habe mir eben bei chip.de ein mal den Adobe Reader lite, und ein anderes Programm zum lesen von PDF Dateien heruntergeladen. Danach habe ich wie jeden Tag den - Plötzlich Pc infiziert...
Archiv
Du betrachtest: Plötzlich Pc infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.