Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.01.2010, 22:43   #1
Kieselstein
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



Hallo zusammen und zunächst einen guten Start ins neue Jahr,

leider startet es auf dem PC meines Sohnes nicht so gut. Zunächst einmal erhält er seit ca. 1 Wo. die Fehlermeldung "Window - Kein Datenträger Exception Processing Message c0000013 Parameters 75b0bf7c 4 750bf7c. Leider konnte ich diesen Fehler nicht beheben. Versuche einer Systemwiederherstellung scheiterten.
Seltsam erscheint mir jedoch, dass ebenfalls seit ca. 1 Wo. die Startseite des IE verändert ist nämlichostarticles.net. Auch hier scheitern Änderungsversuche meinerseits.
Ich habe mich ein wenig durch das Trojaner Board "gekämpft" und bin leider mit meinem Latein am Ende. Ich habe ein Hijackthis.log.file erstellt:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:55:11, on 08.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\Programme\McAfee\VirusScan\McShield.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Analog Devices\SoundMAX\smax4.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\McAfee\MBK\McAfeeDataBackup.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\rundll.exe
C:\WINDOWS\system32\ctfmon.exe
c:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\A***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1SU8GMMX\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.postarticles.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RegServer] regserve.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [XGIWatchDog] twatdog.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "D:\A*** Dateien\Eigene Downloads\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [McAfee Backup] "C:\Programme\McAfee\MBK\McAfeeDataBackup.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Firevall Control C] rundll.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RegistryDoktorNET] C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {86B28C72-357E-4C1C-94C1-DB17F056C11A} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158753838171
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan\McShield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10958 bytes
         
Realnamen habe ich mit *** versehen, ich hoffe, dass ich keine übersehen habe, auch sonst hoffe ich, alles richtig gemacht zu haben.
Kann mir hier jemand helfen, wie ich diesen PC wieder "auf die Reihe bringe".

Vielen Dank
Kieselstein

Alt 08.01.2010, 23:53   #2
Argus
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.postarticles.net
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Windows Firevall Control C] rundll.exe
Klicke Fixed checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst


Scanne mit MalwareByte's Antimalware

Poste das Log von MBAM und wieder ein Log von Hijack This
__________________


Alt 09.01.2010, 00:08   #3
Chris4You
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



Hi,

eine Anmerkung zur Systemmeldung "Processing ....":
Zitat:
Im Systemstart (Start->Ausführen msconfig) die Startdatei dit.exe (Cardreader) suchen deaktivieren (Häckchen wegnehmen). Die Fehlermeldung beim Booten sollte weg sein! Manueller Link auf das Desktop legen, dann kann sie gestartet werden wenn ihr sie braucht (wobei der Cardreader ohne die dit.exe laufen sollte)
chris&out
__________________
__________________

Alt 10.01.2010, 09:28   #4
Kieselstein
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



Zunächst einmla vielen Dank für die bisherigen Antworten. Ich habe, wie angewiesen, verfahren. Nur kann ich Malware nicht ausführen.
Ich habe ein Dektop-Abbild erstellt an der Stelle, an der malware immer abbricht, bzw. an der mir der Task-Manager die Meldung gibt, dass es von malware keine Rückmeldung gibt, kann ich hier leider nicht einfügen. Deshalb hab ich die Stelle notiert, an der es bei malware nicht weiter geht:
windows\system32\_000006_temp.dll

Ich habe jedoch noch ein logfile von hijackthis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:17:07, on 10.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\Programme\McAfee\VirusScan\McShield.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\smax4.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\McAfee\MBK\McAfeeDataBackup.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\rundll.exe
c:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\Microsoft\Office Live\OfficeLiveSignIn.exe
C:\Dokumente und Einstellungen\Anke\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://postarticles.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RegServer] regserve.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [XGIWatchDog] twatdog.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "D:\Anke Dateien\Eigene Downloads\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [McAfee Backup] "C:\Programme\McAfee\MBK\McAfeeDataBackup.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RegistryDoktorNET] C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {86B28C72-357E-4C1C-94C1-DB17F056C11A} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158753838171
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan\McShield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10628 bytes
         
Ich hoffe, dass hier jemand etwas damit anfangen kann. Ich bin an dieser Stelle jedenfalls überfordert.
Herzliche Grüße
Kieselstein

Alt 10.01.2010, 10:51   #5
Chris4You
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



Hi,

eEigentlich will ich Argus nicht vorgreifen, aber das könnte was "gefährliches" sein:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
    und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\rundll.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!


Also, wenn diese Datei erkannt wurde von Virustotal, dann folgendes Script abfahren (aber nur dann)!

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\WINDOWS\rundll.exe
C:\windows\system32\_000006_temp.dll
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Lasse danach sofort MAM laufen, Fullscan und alles bereinigen lassen!

Poste noch ein RSIT und GMER-Log.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O4 - HKLM\..\Run: [Dit] Dit.exe
         
RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 10.01.2010, 12:11   #6
Kieselstein
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



Dank Chris - ich habs fast befürchtet. Hier die Auswertung von von Virus total:
Code:
ATTFilter
Datei 5D7069E68D1E187AF0FF01C0336B6100F9FCAC0F.exe empfangen 2010.01.06 17:31:22 (UTC)Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.5.0.48 2010.01.06 Backdoor.Win32.Gaertob!IK 
AhnLab-V3 5.0.0.2 2010.01.06 - 
AntiVir 7.9.1.122 2009.12.31 - 
Antiy-AVL 2.0.3.7 2010.01.06 - 
Authentium 5.2.0.5 2010.01.06 - 
Avast 4.8.1351.0 2010.01.06 - 
AVG 8.5.0.430 2010.01.04 - 
BitDefender 7.2 2010.01.06 - 
CAT-QuickHeal 10.00 2010.01.05 - 
ClamAV 0.94.1 2010.01.06 - 
Comodo 3489 2010.01.06 - 
DrWeb 5.0.1.12222 2010.01.06 - 
eSafe 7.0.17.0 2010.01.05 - 
eTrust-Vet 35.1.7218 2010.01.06 - 
F-Prot 4.5.1.85 2010.01.05 - 
F-Secure 9.0.15370.0 2010.01.06 - 
Fortinet 4.0.14.0 2010.01.06 - 
GData 19 2010.01.06 - 
Ikarus T3.1.1.79.0 2010.01.06 Backdoor.Win32.Gaertob 
Jiangmin 13.0.900 2010.01.06 - 
K7AntiVirus 7.10.940 2010.01.06 - 
Kaspersky 7.0.0.125 2010.01.06 Trojan.Win32.Buzus.cwwa 
McAfee 5853 2010.01.06 - 
McAfee+Artemis 5853 2010.01.06 - 
McAfee-GW-Edition 6.8.5 2010.01.06 - 
Microsoft 1.5302 2010.01.06 - 
NOD32 4748 2010.01.06 - 
Norman 6.04.03 2010.01.06 - 
nProtect 2009.1.8.0 2010.01.06 - 
Panda 10.0.2.2 2010.01.06 - 
PCTools 7.0.3.5 2010.01.06 - 
Prevx 3.0 2010.01.06 - 
Rising 22.29.02.06 2010.01.06 - 
Sophos 4.49.0 2010.01.06 - 
Sunbelt 3.2.1858.2 2010.01.06 RiskTool.Win32.ProcessPatcher.Nor!cobra (v) 
Symantec 20091.2.0.41 2010.01.06 - 
TheHacker 6.5.0.3.136 2010.01.06 - 
TrendMicro 9.120.0.1004 2010.01.06 - 
VBA32 3.12.12.1 2010.01.05 - 
ViRobot 2010.1.6.2124 2010.01.06 - 
VirusBuster 5.0.21.0 2010.01.06 - 
 
weitere Informationen 
File&nbsp;size: 127117 bytes 
MD5&nbsp;&nbsp;&nbsp;: 2f875f9b79c68e04d51b939eb67e8810 
SHA1&nbsp;&nbsp;: 8a44c7a9c9739b682d0f4f9cf2d3cc176527f15e 
SHA256: ccebab25391400a05e038cf1d7f9c3426a3551773746e033e2dc35c0537ce828 
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x44E6<BR>timedatestamp.....: 0x4B443DB1 (Wed Jan 6 08:37:21 2010)<BR>machinetype.......: 0x14C (Intel I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0xC684 0xD000 6.34 9de7f1b4e291cecac52a9b7f6f8262a3<BR>.rdata 0xE000 0x2C94 0x3000 5.26 4ab7724f1c0f50bb2b5a327b5b216d14<BR>.data 0x11000 0x509C 0x1000 2.21 50bf105c188fb6fd738e7a9df9099816<BR><BR>( 1 imports )<BR><BR>&gt; kernel32.dll: GetModuleHandleA, LoadLibraryA, GetProcAddress, RtlUnwind, HeapFree, HeapAlloc, GetCommandLineA, GetVersionExA, RaiseException, DebugBreak, InterlockedExchange, VirtualQuery, HeapDestroy, HeapCreate, VirtualFree, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, HeapReAlloc, TlsAlloc, SetLastError, GetCurrentThreadId, GetLastError, TlsFree, TlsSetValue, TlsGetValue, ExitProcess, TerminateProcess, GetCurrentProcess, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, CloseHandle, GetProcessHeap, FreeLibrary, InitializeCriticalSection, SetFilePointer, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, GetCPInfo, GetLocaleInfoA, GetACP, GetOEMCP, SetStdHandle, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, VirtualProtect, GetSystemInfo, LCMapStringA, LCMapStringW, HeapSize, FlushFileBuffers<BR><BR>( 0 exports )<BR> 
TrID&nbsp;&nbsp;: File type identification<BR>Win32 Executable MS Visual C++ (generic) (53.1%)<BR>Windows Screen Saver (18.4%)<BR>Win32 Executable Generic (12.0%)<BR>Win32 Dynamic Link Library (generic) (10.6%)<BR>Generic Win/DOS Executable (2.8%) 
ssdeep: 3072:kcVXXH4xgNG14qx8NNFVISDGsE7sIPI1nTVCfhybcTZ1SoMt:k8X4xgQ0NfIsvIkTiTZ1Sl 
PEiD&nbsp;&nbsp;: - 
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<BR>-
         
Ich werde jetzt mal weitermachen, wie von Dir beschrieben.#Gruß
Kieselstein

Alt 10.01.2010, 12:35   #7
Kieselstein
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



So und hier das Log von Avenger:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\rundll.exe" deleted successfully.

Error:  file "C:\windows\system32\_000006_temp.dll" not found!
Deletion of file "C:\windows\system32\_000006_temp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************
         
Ich mache derweil weiter wie beschrieben.
Gruß Kieselstein

Alt 10.01.2010, 17:46   #8
Kieselstein
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



So, nun ist RSIT durch. Ich hänge die Protokolle mal hier an (hoffentlich ist das richtig so). Leider verstehe ich nichts davon.
Vielen Dank für die Hilfe bis hierher. Ich werde jetzt dann mit dem GMER weitermachen.
Gruß
Kieselstein
Angehängte Dateien
Dateityp: txt log.txt (35,0 KB, 253x aufgerufen)
Dateityp: txt info.txt (30,2 KB, 260x aufgerufen)

Alt 10.01.2010, 18:16   #9
Chris4You
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



Hi,

kennst Du die Programme:
C:\WINDOWS\system32\regserve.exe
C:\WINDOWS\system32\twatdog.exe
und
C:\Dokumente und Einstellungen\Anke\Desktop\Anke.exe
C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe

Zumindestens das letzte ist sehr zuspekt, bei Virustotal prüfen lassen!

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
    und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe
C:\WINDOWS\system32\regserve.exe
C:\DOKUME~1\Benedikt\LOKALE~1\Temp\IXP000.TMP\hhjerd.exe
C:\DOKUME~1\Benedikt\LOKALE~1\Temp\gtermddo.sys
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!
-> http://www.threatexpert.com/report.aspx?md5=072e39b79e674adcfcc5404881525966

Das sieht nicht ganz so berauschend aus, bei gtermddo.sys kann es sich um einen Backdoor handeln, sofort von einem sauberen Rechner aus alle Passwörter ändern. Wenn dem so ist, sollte der Rechner neu aufgesetzt werden!

Bereinige sofort alle Temp-Verzeichnisse:
http://www.trojaner-board.de/51464-anleitung-ccleaner.html

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 10.01.2010, 19:50   #10
Kieselstein
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



Hallo Chris,
vielen Dank für Ihre Hilfe.
Ich sitz jetzt an einem anderen - hoffentlich nicht infizierten (meinem) PC. Das GMER läuft noch auf dem infizierten PC.
Dass die von Ihnen genannten Dateien suspekt sind, kann ich mir vorstellen, wenn ich lese, in welchem Ordner sie sich befinden.
Ich würde sagen: Volltreffer!
Leider verstehe ich wirklich nicht so viel davon als dass ich es selbst rausfinden könnte, was ok ist und was nicht.
Was mich irritiert ist, dass ich im Verlauf des IE auf dem PC meines Sohnes fand, dass er sich Hardcore Porno Seiten angesehen haben soll. Das kann wirklich nicht sein; dazu fehlt ihm tatsächlich noch das Verständnis bzw. Interesse. Also, wie kommen diese Seiten in den Verlauf besuchter Internet-Seiten?
Was mein Sohn mir jedoch sagte, ist das er via msn-chat ein bild erhalten hat, dieses lediglich anklickte, es jedoch nichts passierte, er es daher löschte. Danach passierte dann das, was ich in meinem Eingangspost beschrieben habe.
Liebe Grüße, der GMER Post kommt dann, wenn er durch ist.
Kieselstein

Alt 10.01.2010, 19:55   #11
Kieselstein
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



Sorry, noch eine Frage: wie kann das geschehen, ich dachte ich hätte alle Vorkehrungen getroffen, damit keine Viren o.ä. auf den PC kommen. Virenscanner läuft immer, Update erfolgt täglich, Komplettscan wöchentlich, also was habe ich bei den Einstellungen falsch gemacht, dass dieser Supergau geschehen konnte und wie kann ich das in Zukunft und auch auf unseren anderen PC verhindern?
Gruß
Kieselstein

Alt 10.01.2010, 20:32   #12
Chris4You
 
IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Standard

IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...



Hi,

meistens passiert das durch einen Drive-by-download (http://de.wikipedia.org/wiki/Drive-by-Download) (ausgenommen die Helden, die Filesharing betreiben und sich die neusten "gecrackten" Spiele/Apps [natürlich dann auch mit der neusten Malware] runterladen).
Wenn dann noch die dadurch verbreitete Malware neu ist und nicht erkannt wird, wars das bereits. Getarnt über einen Rookit (wie z.B. bei "Malware Defense"), zieht das Ding sich die Tanrkappe über und ist dann nicht mehr zu "stellen".... Aber Gottseidank denken die Damen und Herren Häcker auch nicht immer an alles und irgendwie (und wann) findet sich ein Weg um dann doch noch reagieren zu können. Leider geben die Hacker den Takt vor und wir (und die Securityhersteller) hecheln hinter her, d.h. es gibt in diesem Augenblick schon neue Malware die nicht erkannt wird, die wir hier nicht kennen...

Eine Technik (auch hier umstritten) versucht gegenzusteuern, Host-Intrusion-Detection (HIS) versucht durch Überwachung der Betriebssystemressourcen (Files, Registry etc.) verdächtiges Verhalten zu erkennen und zu blocken (nennt sich teilweise auch "proaktiver Schutz" etc.).

Vertreter dieser Art ist Threadfire (http://www.threatfire.com/de/) als Add-On zu einem Realtime Scanner sowie z.B. Online Amor (http://www.tallemu.com/products-online-armor-free.php) gekoppelt mit einer Firewall....

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...
adobe, avkwctl.exe, bho, content.ie5, dll, download, einstellungen, explorer, fehlermeldung, firewall, google, hijack, hkus\s-1-5-18, icq, internet, internet explorer, logfile, microsoft, pdf, phishing, programme, rundll, siteadvisor, software, trojaner, trojaner board, uleadburninghelper, windows, windows xp



Ähnliche Themen: IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...


  1. Startseite verändert, falsche Seiten öffnen sich 22find...
    Log-Analyse und Auswertung - 24.04.2014 (5)
  2. Fehler Meldung: Windows kein Datenträger "exeption processing..."
    Plagegeister aller Art und deren Bekämpfung - 11.05.2009 (1)
  3. IE startseite verändert und virusmeldung
    Plagegeister aller Art und deren Bekämpfung - 24.08.2008 (3)
  4. Exception Processing Message c00000a3 Parameters 75b0bf9c 4 75b0bf9c 75b0bf9c
    Plagegeister aller Art und deren Bekämpfung - 18.05.2008 (26)
  5. Startseite hat sich plötzlich verändert
    Log-Analyse und Auswertung - 01.10.2006 (6)
  6. Startseite und Hintergrundbild verändert
    Log-Analyse und Auswertung - 27.10.2005 (8)
  7. Hilfe ... Startseite verändert und lässt sich nicht mehr rückgängig machen!!!
    Log-Analyse und Auswertung - 10.10.2005 (14)
  8. Startseite verändert
    Mülltonne - 20.09.2005 (4)
  9. Auch bei mir Startseite verändert
    Plagegeister aller Art und deren Bekämpfung - 08.02.2005 (4)
  10. Toolbar und Startseite verändert
    Log-Analyse und Auswertung - 16.01.2005 (4)
  11. Startseite verändert, popups und Seiten öffnen sich willkürlich
    Plagegeister aller Art und deren Bekämpfung - 12.12.2004 (12)
  12. startseite verändert
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (1)
  13. Startseite meines Internet Explorers verändert!!!
    Plagegeister aller Art und deren Bekämpfung - 09.11.2004 (5)
  14. werbung in der iexplorer-leiste, popup, startseite verändert
    Plagegeister aller Art und deren Bekämpfung - 24.10.2004 (7)
  15. HiJackThis Log von Chiara (Startseite verändert sich)
    Log-Analyse und Auswertung - 02.09.2004 (7)
  16. IE Startseite wird verändert
    Plagegeister aller Art und deren Bekämpfung - 15.05.2004 (52)
  17. Hilfe!! Startseite IE wird verändert
    Plagegeister aller Art und deren Bekämpfung - 22.04.2004 (43)

Zum Thema IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... - Hallo zusammen und zunächst einen guten Start ins neue Jahr, leider startet es auf dem PC meines Sohnes nicht so gut. Zunächst einmal erhält er seit ca. 1 Wo. die - IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c......
Archiv
Du betrachtest: IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.