Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:18:42, on 10.07.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msupdate32] C:\Users\Erik\AppData\Local\Temp\1.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Update Service (gupdate1c9d604c17e51b8) (gupdate1c9d604c17e51b8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software GmbH - C:\Windows\System32\TUProgSt.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 4860 bytes

Hallo 3rik92 und

Arbeite bitte noch folgende Liste ab Punkt 2 (ohne HijackThis) ab:
http://www.trojaner-board.de/69886-a...-beachten.html

Bitte alle anfallenden Logfiles hier posten!

Lass bitte folgende Datei bei VirusTotal - Kostenloser online Viren- und Malwarescanner überprüfen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Erik\AppData\Local\Temp\1.exe
         

Poste auch das Ergebnis.

Gruß
Handball10

Ich hab die Datei gesucht aber nicht gefunden. Nur eine 2.exe.
Was mich mehr beunriuhgt ist das ich den PC gerade hochgefahren habe und nach dem ich Firefox geöffnet habe eine meldung kam "Fuck your black ass".

Hi 3rik92,

sind bei dir auch die versteckten Ordner sichtbar?
Wenn nicht:

• Öffne den Explorer

• Klicke auf "Extras" und wähle Ordneroptionen

• Wechsle in den Reiter "Ansicht"

• Scrolle bis zu dem Punkt "Versteckte Dateien und Ordner"

• Setzte den Punkt auf "Alle Dateien und Ordner anzeigen"

Wenn du nun die Datei sehen kannst, lade sie erneut hoch.
Wenn nicht, kopiere folgende Zeile in das Textfeld neben dem Button "Durchsuchen" und klicke auf "Senden der Datei"

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Erik\AppData\Local\Temp\1.exe
         

Die Datei "2.exe" ebenfalls hochladen, Ergebnisse posten und an der Liste weiterarbeiten.

Gruß
Handball10

Datei 2.exe

Bigger than max permited size / Mayor del tamaño máximo permitido<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>200 OK</title>
</head><body>
<h1>OK</h1>
<p>The answer to your request is located <a href="/de/analisis/dc58b69e016fe98f0ad925ed308feae3878792dda69fe80af5f734116dedc475-1247312370">here</a>.</p>
</body></html>
Die Datei ist zu groß oder?

1.exe

a-squared 4.5.0.18 2009.07.11 -
AhnLab-V3 5.0.0.2 2009.07.10 -
AntiVir 7.9.0.204 2009.07.10 -
Antiy-AVL 2.0.3.1 2009.07.10 -
Authentium 5.1.2.4 2009.07.10 -
Avast 4.8.1335.0 2009.07.10 -
AVG 8.5.0.387 2009.07.11 -
BitDefender 7.2 2009.07.11 -
CAT-QuickHeal 10.00 2009.07.10 -
ClamAV 0.94.1 2009.07.11 -
Comodo 1615 2009.07.11 -
DrWeb 5.0.0.12182 2009.07.11 -
eSafe 7.0.17.0 2009.07.09 -
eTrust-Vet 31.6.6608 2009.07.10 -
F-Prot 4.4.4.56 2009.07.10 -
F-Secure 8.0.14470.0 2009.07.10 -
Fortinet 3.120.0.0 2009.07.11 -
GData 19 2009.07.11 -
Ikarus T3.1.1.64.0 2009.07.11 -
Jiangmin 11.0.706 2009.07.11 -
K7AntiVirus 7.10.789 2009.07.10 -
Kaspersky 7.0.0.125 2009.07.11 -
McAfee 5672 2009.07.10 -
McAfee+Artemis 5672 2009.07.10 -
McAfee-GW-Edition 6.8.5 2009.07.10 Heuristic.BehavesLike.Win32.Obfuscated.I
Microsoft 1.4803 2009.07.11 -
NOD32 4233 2009.07.11 -
Norman 6.01.09 2009.07.10 -
nProtect 2009.1.8.0 2009.07.11 -
Panda 10.0.0.14 2009.07.10 -
PCTools 4.4.2.0 2009.07.10 -
Prevx 3.0 2009.07.11 -
Rising 21.37.52.00 2009.07.11 -
Sophos 4.43.0 2009.07.11 -
Sunbelt 3.2.1858.2 2009.07.10 -
Symantec 1.4.4.12 2009.07.11 -
TheHacker 6.3.4.3.365 2009.07.11 -
TrendMicro 8.950.0.1094 2009.07.10 -
VBA32 3.12.10.8 2009.07.11 -
ViRobot 2009.7.11.1831 2009.07.11 -
VirusBuster 4.6.5.0 2009.07.10 -

weitere Informationen
File size: 1555456 bytes
MD5 : cbd254d768874972b05c74bfdd97d6b4
SHA1 : 2a07ad2981b82c8a5a0f35da030ca3a0a46f6d4a
SHA256: 72511538b02bbf81ce576f88e067fbee009c1abb7f5f93dfe495f3561e9ebb9e
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3BDE
timedatestamp.....: 0x4A13119B (Tue May 19 22:07:55 2009)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x310E 0x3200 5.53 ed87edffd113e8e75433bd62078af9f9
.rdata 0x5000 0x7B2 0x800 4.85 4177cbf64d16641a9584f49b18ae8420
.data 0x6000 0xBF8 0x800 1.38 4e16872b10f6407a0ee56c0ac4202bfc
.rsrc 0x7000 0x177534 0x177600 8.00 c0054d6a00c3eb2961f11053ad25f9c6

( 4 imports )

> kernel32.dll: GetTempPathA, IsDebuggerPresent, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, InterlockedExchange, Sleep, QueryPerformanceCounter, FindResourceA, CloseHandle, CreateFileA, GetModuleHandleA, LockResource, CopyFileA, GetProcAddress, SizeofResource, WriteFile, GetTickCount, LoadResource
> msvcr80.dll: _onexit, _decode_pointer, _except_handler4_common, _lock, _controlfp_s, _crt_debugger_hook, strstr, __dllonexit, _unlock, _terminate@@YAXXZ, __set_app_type, _encode_pointer, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _configthreadlocale, _initterm_e, _initterm, _acmdln, exit, _ismbblead, _XcptFilter, _exit, _cexit, __getmainargs, _amsg_exit, sprintf, srand, rand, strchr, _invoke_watson, memset
> shell32.dll: ShellExecuteA
> user32.dll: GetCursorPos, MessageBoxA

( 0 exports )
ssdeep: 24576:w4WffXuNsKJb7Me9hhigf0UF5XBrDBCVdlvEq6/01mScys9zXOhjmT3wJ76AFHLj:tW3/Kt7M+F0ct8hEq/Ls9zXkjmTAJnLj
PEiD : -
RDS : NSRL Reference Data Set [/CODE]

Ich hab außerdem noch 4 Viren gefunden

"C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\2jqwtk0v.default\cookies.sqlite";" gefunden";"Geheilt"
"C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\2jqwtk0v.default\cookies.sqlite:\doubleclick.net.bf396750";" gefunden";"In Virenquarantäne verschoben"
"C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\2jqwtk0v.default\cookies.sqlite:\ivwbox.de.41d82fe2";" gefunden";"In Virenquarantäne verschoben"
"C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\2jqwtk0v.default\cookies.sqlite:\m.webtrends.com.b4ca7df0";" gefunden";"In Virenquarantäne verschoben"

Hi 3rik92,

Mach bitte einen Komplett-Scan mit Malwarebytes Antimalware.
Poste anschließend das Logfile.

Gruß
Handball10

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2406
Windows 6.0.6002 Service Pack 2

11.07.2009 17:13:10
mbam-log-2009-07-11 (17-12-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 198168
Laufzeit: 1 hour(s), 15 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Erik\documents\jdownloader\fritz!box reconnect\reconnect.bat (Trojan.Downloader) -> No action taken.