|
Spyware, Malware und kein nützlicher Scanner Hallo Leute, ich habe vor ein paar Tagen etwas von einer, sagen wir, nicht ganz seriösen Seite heruntergeladen. Im Normalfall downloade ich niemals von Pages, die ich nicht kenne bzw. die nicht einen einigermaßen seriösen Eindruck machen. Jetzt habe ich es dennoch getan und sofort die Quittung erhalten. Alles fing ganz einfach damit an, dass ich, wollte ich mich via Windows Live Messenger in mein E-Mail-Postfach einloggen, auf eine Website namens "systemerroronline.com" weitergeleitet wurde. Dann trat dieses Problem auch beim Mozilla Firefox auf, ich musste beispielsweise 2x den Trojaner-Board-Link bei Google anklicken, nach dem ersten Klick fand ich mich auf irgendeiner kommerziellen Seite wieder. Ferner öffnen sich bei mir während des Surfens dauernd iwelche Advertisement-Popups und befinde ich mich auf dem Arbeitsplatz, erscheint dort eine Meldung, dass mein System infiziert wurde. Da alle Maleware-, Spyware-, als auch Virenscanner keinen Erfolg brachten, gilt meine gesamte letzte Hoffnung jetzt euch. Ich habe bei der Suche nach einer Lösung für mein Problem von hijackthis gehört und euer Forum scheint das geeignetste für das Posten eines Logfiles zu sein. Ich hoffe, ihr könnt helfen! Vielen Dank im Voraus! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:48:09, on 16.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe F:\Programme\Avira Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe F:\Programme\Avira Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\cFosSpeed\cFosSpeed.exe C:\WINDOWS\system32\RUNDLL32.EXE F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe F:\Programme\PowerISO\PWRISOVM.EXE C:\WINDOWS\system32\ctfmon.exe F:\Programme\DAEMON Tools Lite\daemon.exe F:\Programme\Avira Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\cFosSpeed\spd.exe f:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\WINDOWS\system32\wscntfy.exe F:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe F:\Programme\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.msn.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com, O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: WI64_google - {D59FD1DB-2835-4F0D-B239-ECF7E05E6390} - C:\WINDOWS\system32\rtenazot.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PWRISOVM.EXE] F:\Programme\PowerISO\PWRISOVM.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "f:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [AlcoholAutomount] "f:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Instant Messenger\ICQ 6\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Instant Messenger\ICQ 6\ICQ6.5\ICQ.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211477921359 O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E09D92B8-9866-4B9B-AA80-2EA9F64922EC}: NameServer = 85.255.113.91;85.255.112.180 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.91;85.255.112.180 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.91;85.255.112.180 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - f:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe -- End of file - 8156 bytes Jetzt lasse ich erstmal Malwarebytes Antimalware laufen und poste den Log hier! |
Habe das Problem identifziert und eliminiert. Es handelte sich um die Datei "rtenazot.dll", die unter Windows/system32 gefunden wurde. Danke Malwarebytes' Anti-Malware, aber vor allem DANKE GOOGLE :-) |
Den Trojaner habe ich jetzt zwar gelöscht gehabt, allerdings fanden sich während des Surfens immer noch nervige Advertisement-Popups, die nichts mit den von mir besuchten Sites zu tun hatten. Daher habe ich die vorher durch den Trojaner blockierte und jetzt glücklicherweise wieder funktionierende Systemwiederherstellung durchgeführt. Nun scheint wieder alles bestens zu laufen! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:38 Uhr. |
Copyright ©2000-2024, Trojaner-Board