Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.12.2009, 15:14   #1
Strawberry88
 
Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log - Standard

Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log



Hallo allerseits,
ich versuche den Fall mal so genau wie möglich zu beschreiben,denn ich weiss nicht genau was gestern wirklich an meinem Pc passiert ist. Ein Bekannter war ein paar Stunden am Pc und hatte einige Dateien per Messenger mit einem Freund ausgetauscht. Diese Dateien wurden bereits gelöscht. Nun bemerkte ich gestern jedoch einen Eintrag im Taskmanager der mir neu ist und zwar "ielowutil",ich hab ihn bei Virustotal hochgeladen doch schien sauber zu sein.
Beim starten von Windows erscheint immer erst eine Fehlermeldung die vorher nie kam:"[MSSMSGS] rundll32.exe wintki32.rom konnte nicht geladen werden".
Ich hab die Datei ebenfalls hochgeladen,auch nichts.
Desweiteren haben die Scans von Avira & Windows defender auch nichts ausgespuckt. Muss ja aber nichts heissen,vielleicht könnt ihr mir helfen Aufschluss über mein System zu bekommen.

HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:58:25, on 21.12.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\1st Clock\1stClock.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe wintki32.rom,qLwkzkS
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: 1st Clock.lnk = C:\Program Files (x86)\1st Clock\1stClock.exe
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEA4A081-2204-4F08-9524-45293FCD6C7E}: NameServer = 195.50.140.114 195.50.140.252
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\SysWow64\DreamScene.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: 1st Clock Adjust Time Service (GPAdjustTimeService) - Green Parrots Software - C:\Program Files (x86)\1st Clock\1stClockAdjustTimeSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6340 bytes
Es handelt sich übrigens um ein 64bit Betriebssystem. Windows 7.

Alt 21.12.2009, 20:59   #2
Strawberry88
 
Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log - Standard

Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log



Hier ist noch der Log von mbam:

HTML-Code:
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3405
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

21.12.2009 21:55:16
mbam-log-2009-12-21 (21-55-12).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 257871
Laufzeit: 40 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9d71d88c-c598-4935-c5d1-43aa4db90836} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mssmsgs (Backdoor.Bot) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Adminstrator\AppData\Roaming\addons.dat (Bifrose.Trace) -> No action taken.
C:\Users\***\Documents\downloads\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Ich habe die Funde noch nicht gelöscht.
__________________


Alt 28.01.2010, 20:07   #3
Toaster_143
 
Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log - Standard

Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log



hey Strawberry88,

scheinbar hat dein kumpel oder du einen Bifrost server installiert :/

Diese zählen zu den RATS (Remote Acess Control), dass heißt das einer der den entsprechenden Clienten dazu hat (vllt dein kumpel nur als Beispiel) deinen Rechner zum Beispiel ->


Fernsteuern kann und Passwörter stehlen kann!

Zitat:
C:\Users\Adminstrator\AppData\Roaming\addons.dat (Bifrose.Trace) -> No action taken
Die Meldung eines Bifrost servers...


Man KANN bereinigen, das ist ist aber profi sache(vielleicht kommt noch einer aus dem Kompetenz team hierher), denn diese Server werden gerne umgeschrieben(unsichtbar gemacht) und laden andere Viren und Trojaner nach, dass das alles eigentlich keinen Sinn mehr macht.

Ich schlage vor:
Du lädst dir den GMER MBR detector hier runter: und guckst ob dein MBR sauber ist. (log posten!)
und guckst ob dein MBR sauber ist.

Dein system ist kompromittiert, und der sicherste weg erfolgt hier.

Nicht vergessen ALLE Passwörter abzuändern und zwar NACHDEM dein System neuaufgesetzt worden ist!

War das auch schon so bevor dein Kumpel da war?


Mfg

Toaster_143
__________________

Antwort

Themen zu Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log
antivir, antivir guard, avg, avira, bho, cdburnerxp, defender, desktop, explorer, fehlermeldung, firefox, helper, hijack, hijackthis, internet, internet explorer, logfile, mozilla, object, rundll, software, starten, system, syswow64, taskmanager, virus, windows



Ähnliche Themen: Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log


  1. Mal und möglicherweise spyware verseucht?
    Plagegeister aller Art und deren Bekämpfung - 20.07.2015 (3)
  2. W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI
    Log-Analyse und Auswertung - 21.05.2015 (33)
  3. Möglicherweise Trojaner eingefangen...?
    Plagegeister aller Art und deren Bekämpfung - 15.12.2014 (15)
  4. Taskmanager geht nicht mehr Windows 7 Taskmanager trojaner 2014
    Alles rund um Windows - 18.06.2014 (48)
  5. DealPly / Infiziert durch Bundle-Software / Über 1000 Einträge in der Hosts Datei / Arbeitsspeicher füllt sich
    Log-Analyse und Auswertung - 24.12.2013 (14)
  6. verdächtige Email mit zip Anhang geöffnet- Laptop nun infiziert?
    Plagegeister aller Art und deren Bekämpfung - 22.07.2013 (6)
  7. "csrss.exe" und "winlogon.exe" möglicherweise Infiziert
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (3)
  8. Computer möglicherweise infiziert
    Log-Analyse und Auswertung - 06.02.2013 (1)
  9. Windows XP Laptop möglicherweise infiziert?
    Plagegeister aller Art und deren Bekämpfung - 10.12.2012 (98)
  10. Noch jemand wach? Habe unnormale Einträge im Taskmanager und traue meinem PC nicht mehr....
    Log-Analyse und Auswertung - 23.09.2012 (2)
  11. PC möglicherweise infiziert? (Java Exploit etc?)
    Alles rund um Windows - 21.03.2011 (3)
  12. Möglicherweise Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2010 (4)
  13. Trojaner entfernen (infiziert -> verdächtige IP)
    Plagegeister aller Art und deren Bekämpfung - 23.03.2010 (1)
  14. Verdächtige Messenger Einträge
    Plagegeister aller Art und deren Bekämpfung - 24.11.2009 (47)
  15. Möglicherweise Trojaner?
    Log-Analyse und Auswertung - 21.03.2009 (1)
  16. Verdächtige 017er Einträge im hjt-logfile fixen?!
    Log-Analyse und Auswertung - 05.12.2006 (1)
  17. Logfile, verdächtige Einträge
    Log-Analyse und Auswertung - 08.06.2006 (7)

Zum Thema Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log - Hallo allerseits, ich versuche den Fall mal so genau wie möglich zu beschreiben,denn ich weiss nicht genau was gestern wirklich an meinem Pc passiert ist. Ein Bekannter war ein paar - Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log...
Archiv
Du betrachtest: Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.