| |
| |||||||
Log-Analyse und Auswertung: Merkwürdige Einträge!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte. |
 |
07.08.2009, 21:10
| #1 |
 |  Merkwürdige Einträge! Hallo miteinander, und zwar wie öfters habe ich mal wieder HijackThis Logs durchlaufen lassen. Nur kommen mir jetzt zwei Einträge kommisch vor und die ich nicht ganz verstehe. O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE Dazu kam das ich mir vor längerer zeit für messenger ein Vidio program ladete was Webcam Sitzungen aufzeichnet. Nach einiger Zeit wollte ich dies wieder loswerden hab es gelöscht nur jetzt taucht es immer wieder auf beim Hochfahren.. Wie kann ich den endgültig loswerden?  Ich poste mal das ganze File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:00:36, on 07.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TeamViewer\Version4\TeamViewer_Service.exe C:\Programme\TeamViewer\Version4\TeamViewer.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\PixArt\PAC207\Monitor.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\WINDOWS\system32\cidaemon.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Contacts\wlcomm.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE C:\Programme\Mobile Partner\Mobile Partner.exe C:\Programme\internet explorer\iexplore.exe C:\Programme\internet explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MSN Webcam Recorder] "C:\Programme\MSN Webcam Recorder\ml20gui.exe" -silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242756341750 O17 - HKLM\System\CCS\Services\Tcpip\..\{34F342EC-E6B7-4CD5-8636-7A69E91F0AA7}: NameServer = 81.3.216.100 194.24.128.100 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Programme\TeamViewer\Version4\TeamViewer_Service.exe -- End of file - 6611 bytes Ich hoffe ihr könnt mir Helfen. LG Michaela |
|
07.08.2009, 21:48
| #2 |
  | Merkwürdige Einträge! Hallo...und
__________________ Code:
ATTFilter O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
Code:
ATTFilter O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
Wenn du willst, kannst du die Dateien, zur Sicherheit, trotzdem überprüfen lassen bei Virustotal. Folgende Einträge bitte fixen: Code:
ATTFilter O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
Code:
ATTFilter Monitor.exe
Code:
ATTFilter TeamViewer_Servic e.exe
Deinstaliere: - Spybot -> wird allgemein, hier im Forum, von abgeraten. - alle "unnötigen" Toolbars. Arbeite bitte folgende Links ab: http://www.trojaner-board.de/51464-a...ccleaner.html? http://www.trojaner-board.de/54192-a...ellungen.html? http://www.trojaner-board.de/51187-a...-malware.html?
__________________ |
|
07.08.2009, 22:06
| #3 |
| | Merkwürdige Einträge! Hallo,
__________________Es waren nur zwei Dateien drinnen die stehen zum fixen nicht 4. 2 habe ich gefunden und gefixt andere zwei waren nicht vorhanden. Spyot? Ist schon längst Deinstalliert. Ist nirgendst mehr zu finden laut Software ist der nicht mehr vorhanden und auch nicht mehr am Desktop. CCleaner habe ich heute schon durchgeführt da ich ihm schon drauf habe und habe gereinigt und in der Registry gelöscht was er nicht mochte. Wenn du den Bericht haben möchtest wo finde ich den? Alles andere werde ich jetzt durchlaufen lassen auch nochmal zum zweiten mal da ich Maleware Bites auch verwendete und dieser nichts fand. Ich aber denn Bericht löschte.  Ahh welche Toolbars? LG Michaela Geändert von Michaela2 (07.08.2009 um 22:37 Uhr) Grund: Was vergessen |
|
07.08.2009, 22:27
| #4 |
| | Merkwürdige Einträge! Haum ich befürchte, dass du Recht hast, mit den doppelten Einträgen.^^ Sollte eigentlich unter "Scanberichte" zu finden sein in Malewarebytes.
__________________ _____________________________________________ „Optimismus ist nur ein Mangel an Information.“ Heiner Müller Sicherheit?->Allgemeine Informationen Der Plural von Virus heisst "Vira"! virus(viri, n.) Substantiv O-Deklination Nom.pl/Akk.pl. |
|
07.08.2009, 22:35
| #5 |
| | Merkwürdige Einträge! Hallo, also ich habe jetzt Male Ware Bites drüber laufen lassen das kam raus: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2174 Windows 5.1.2600 Service Pack 3 07.08.2009 23:14:00 mbam-log-2009-08-07 (23-14-00).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 81157 Laufzeit: 4 minute(s), 6 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Haum ich befürchte, dass du Recht hast, mit den doppelten Einträgen.^^ Was heisst das? Ja nur dort habe ich alles gelöscht die Berichte da ich das öfters Laufen lasse alles und irgendwan die Speicherungen voll werden. Monitor.exe TeamViewer_Servic e.exe Blöde frage aber wo finde ich das? Die wollen das ich dort was Hochlade nur ich finde die Datei nicht das Suchergebniss zu Team Viewer ergab 176 Dateien.. und zu Monitor exe fand er gar nichts. |
|
07.08.2009, 23:22
| #6 |
| | Merkwürdige Einträge! Malewarebytes sieht ja ganz gut aus. Zur Sicherheit führst du SUPERAntiSpyware noch einmal aus: http://www.trojaner-board.de/51871-a...ispyware.html? Code:
ATTFilter Was heisst das?
Die beiden Dateien findest du entweder in dem du sie suchst, per Suchfunktion Start->Suchen "....." Enter, oder indem du den Pfad "nachklickst". C:\Programme\TeamViewer\Version4\TeamViewer_Servic e.exe C:\WINDOWS\PixArt\PAC207\Monitor.exe Nur die exe.Dtei hochladen...
__________________ --> Merkwürdige Einträge! |
|
08.08.2009, 00:23
| #7 |
| | Merkwürdige Einträge! Hallo, also ich bin dabei das durchlaufen zu lassen. Dauert nur. Bis jetzt hat er 4 gefunden. Ich lasse den weiter laufen jetzt. Mal schauen was er weiter sagt. |
|
08.08.2009, 07:14
| #8 |
| | Merkwürdige Einträge! Hallo, also ich habe ihn durchlaufen lassen hier das Ergebniss: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 08/08/2009 at 01:52 AM Application Version : 4.27.1002 Core Rules Database Version : 4044 Trace Rules Database Version: 1984 Scan type : Complete Scan Total Scan Time : 01:15:56 Memory items scanned : 682 Memory threats detected : 0 Registry items scanned : 4407 Registry threats detected : 0 File items scanned : 50236 File threats detected : 4 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Harald\Cookies\harald@msnportal.112.2o7[1].txt C:\Dokumente und Einstellungen\Harald\Cookies\harald@pro-market[2].txt C:\Dokumente und Einstellungen\Harald\Cookies\harald@atdmt[2].txt C:\Dokumente und Einstellungen\Harald\Cookies\harald@ad.yieldmanager[1].txt Wurde in Quarantäne und dann gelöscht. LG Michaela |
|
08.08.2009, 11:32
| #9 |
| | Merkwürdige Einträge! Das sind "nur" Cookies, die sind normal. Du brauchst dir keine Sorgen zu machen. Die Suche mit SUPERAntiSpyware war nur zur Sicherheit. Hin und wieder findet MBAM nicht alles. Was sagen die Auswertungen von Virustotal?
__________________ _____________________________________________ „Optimismus ist nur ein Mangel an Information.“ Heiner Müller Sicherheit?->Allgemeine Informationen Der Plural von Virus heisst "Vira"! virus(viri, n.) Substantiv O-Deklination Nom.pl/Akk.pl. |
|
09.08.2009, 17:40
| #10 |
| | Merkwürdige Einträge! Hallo, sorry das ich mich nicht meldete aber ich bin grad erst nach Hause gekommen.  Das ist gut das es nur Cockies waren. Virustool so wie ich es entzifern konnte ist es nichts schlimmes Dateien die dazu gehören. Danke dir für die Hilfe. LG Michi |
|
| Themen zu Merkwürdige Einträge! |
| add-on, adobe, antivir, antivir guard, avg, avira, bho, dateien, desktop, dll, explorer, file, hijack, hijackthis, hotkey, immer wieder, internet, internet explorer, loswerden, microsoft, plug-in, programme, rundll, software, system, toolbars, windows, windows xp, yahoo |
