Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Befall durch TR/Hijack.AE

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.11.2008, 13:18   #1
phlox
 
Befall durch TR/Hijack.AE - Standard

Befall durch TR/Hijack.AE



Hallo ihr guten Virusbekämpfer,

ich bin durch die google Suche auf diesen Thread in eurem Board gestoßen:

Trojaner-Board > Sicherheit - Trojaner-Info.de Forum > Plagegeister aller Art und deren Bekämpfung
TR/Hijack.AE

Ich habe ein sehr ähnliches Problem wie Assetmoc. Bei mir ist allerdings eine andere Datei befallen. Die entsprechenden Zeilen vom AVira-Scan heißt bei mir:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\dmintf32.dll
[FUND] Ist das Trojanische Pferd TR/Hijack.AE


Mittlerweile wird auch noch eine zweite Datei als Fund gemeldet:

Avira Guard:
In der Datei 'C:\System Volume Information\_restore{FC9DD7F9-A57E-4865-8345-233659DFF238}\RP40\A0007351.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Hijack.AE' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Ich habe bereits versucht, im abgesicherten Modus zu starten. Der Sacn ergab ebenfalls die Infizierung der ersten o.g. Datei.
In Quarantäne verschieben und zugriff verweigern erzeugt keinen Effekt.

Könnt ihr schon sagen, ob mein Rechner damit ansteckend ist? Sollte ich mailen und USB-Sticks vermeiden?

Mein Rechner läuft mit Windows XP SP3. Die Installation ist noch nicht alt. Spybot und Avira habe ich frühzeitig installiert.

Andere Probleme außer den Meldungen von AntiVir treten gerade nicht auf.

Ich hoffe, dass ihr alle wichtigen Informationen für den nächsten Schritt jetzt habt. Tut mir leid, falls noch etwas fehlt - bitte einfach fragen, ich mache sowas zum ersten Mal...

Vielen Dank schon im Voraus
Beste Grüße
Phlox

Alt 27.11.2008, 14:20   #2
Leonidas88
 
Befall durch TR/Hijack.AE - Standard

Befall durch TR/Hijack.AE



Poste bitte ein Hijack log.
__________________


Alt 27.11.2008, 14:43   #3
phlox
 
Befall durch TR/Hijack.AE - Standard

HiJack Log



Hi Leonidas,

hier kommt der HiJack-Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:28:39, on 27.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Kodak\printer\center\KodakSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EKIJ5000StatusMonitor] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak AiO Device Service (KodakSvc) - Eastman Kodak Company - C:\Programme\Kodak\printer\center\KodakSvc.exe

--
End of file - 5900 bytes
         
freue mich auf neue Order :-)

Besten Gruß
Phlox
__________________

Alt 27.11.2008, 15:00   #4
Leonidas88
 
Befall durch TR/Hijack.AE - Standard

Befall durch TR/Hijack.AE



Obwohl Hijack sauber aussieht würd ich so machen.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.


2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

3.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

Ich kann bzw darf dir nicht zu Combofix raten. Muß ein Kompetenzler machen.

Alt 27.11.2008, 16:21   #5
phlox
 
Befall durch TR/Hijack.AE - Standard

Befall durch TR/Hijack.AE



zu 1.) Systemwiederherstellung ist deaktiviert.

zu 2.)
Ergebnisse von Malwarebytes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1428
Windows 5.1.2600 Service Pack 3

27.11.2008 16:08:49
mbam-log-2008-11-27 (16-08-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 139802
Laufzeit: 23 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
bei fsecure blacklights finde ich keinen Logfile. Der scan ergab keine Auffälligkeiten.


zu 3.)
kannst du mir noch einen Link zu silentrunners schicken? Ich verstehe nicht, was ich da machen soll...

Vielen Dank für die Hilfe und die Geduld
Phlox


Alt 27.11.2008, 16:25   #6
Sucherin000
 
Befall durch TR/Hijack.AE - Standard

Befall durch TR/Hijack.AE



http://www.virus-protect.org/silentrunner.html

Hier kannst du es installieren und es gibt ein Tutorial dazu.

Antwort

Themen zu Befall durch TR/Hijack.AE
abgesicherten modus, antivir, befall, datei, forum, frage, google, guard, installation, plagegeister, problem, probleme, programm, rechner, sicherheit, spybot, starten., suche, system, system volume information, system32, tr/hijack.ae, trojanische pferd, warnung, windows, windows xp, zugriff




Ähnliche Themen: Befall durch TR/Hijack.AE


  1. nach Befall durch BKA Virus Entfernung durch Fachhandel Jetzt startet Windows sicherheitsdienst nicht mehr
    Log-Analyse und Auswertung - 05.06.2014 (14)
  2. PC-Befall durch SoftwareUpdater.Ui.exe
    Log-Analyse und Auswertung - 04.10.2013 (9)
  3. Befall durch TR/Boigy.J und TR/Bublik.I.12
    Plagegeister aller Art und deren Bekämpfung - 09.07.2013 (3)
  4. Trojaner-Befall durch Bundespolizeitrojaner 1.13
    Log-Analyse und Auswertung - 03.12.2012 (3)
  5. GVU-Trojaner Befall, 4 Funde durch MBM
    Plagegeister aller Art und deren Bekämpfung - 19.11.2012 (18)
  6. Multibler Befall durch Trojaner
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (5)
  7. Conficker-Befall: Pum.hijack.system.hidden...
    Log-Analyse und Auswertung - 28.12.2010 (1)
  8. Befall durch TR/Meredrop.A.4984
    Plagegeister aller Art und deren Bekämpfung - 29.01.2010 (1)
  9. Hijack this logfile bitte angucken aufgrund von maleware befall
    Log-Analyse und Auswertung - 24.09.2009 (1)
  10. Befall durch TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 01.04.2009 (8)
  11. HiJack Log und mehr wegen Trojaner Warnung nach Antispyware2008 befall
    Log-Analyse und Auswertung - 03.09.2008 (2)
  12. Virus/Spyware befall, was soll ich tun? (HiJack Log)
    Mülltonne - 11.08.2008 (0)
  13. Befall durch Trojaner, was tun?
    Log-Analyse und Auswertung - 08.08.2008 (5)
  14. Rechner nach Zlob Befall: Kasparsky Log + HiJack This Log
    Log-Analyse und Auswertung - 17.02.2008 (1)
  15. Viren Befall - Bitte um Hilfe bei EScan/HiJack Auswertung!
    Log-Analyse und Auswertung - 27.07.2007 (3)
  16. Trojaner-Befall - Hijack This Log
    Log-Analyse und Auswertung - 02.10.2006 (5)
  17. Trojaner Befall->Hijack-Log
    Log-Analyse und Auswertung - 29.09.2006 (8)

Zum Thema Befall durch TR/Hijack.AE - Hallo ihr guten Virusbekämpfer, ich bin durch die google Suche auf diesen Thread in eurem Board gestoßen: Trojaner-Board > Sicherheit - Trojaner-Info.de Forum > Plagegeister aller Art und deren Bekämpfung - Befall durch TR/Hijack.AE...
Archiv
Du betrachtest: Befall durch TR/Hijack.AE auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.