Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   opera.exe und hijack allgemein (https://www.trojaner-board.de/74077-opera-exe-hijack-allgemein.html)

FieserMöpp 12.06.2009 19:30
opera.exe und hijack allgemein
 
Hallo und guten Abend erstmal!
Hab mich grad extra hier registriert, weil mich seit Tagen ein Problem plagt. In meinen Tasks befindet sich ständig die opera.exe, obwohl der Browser gar nicht aktiv ist. Kille ich den Prozeß, erscheint er nach wenigen Augenblicken wieder.
Ich habe in "weiser Voraussicht" mal ein HijackThis-Log erstellt. Vielleicht erkennt der eine oder andere den einen oder anderen Malus im System?

Wäre sehr dankbar für Hilfe.:knuddel:

Gruß Sebastian

Edit: Vielleicht sollte ich noch dazuerwähnen, dass ich per Google bereits mehr oder minder in Erfahrung bringen konnte, dass es sich hierbei um einen Virus oder ähnliches handelt. Sicher ist aber leider nix, und Anleitungen zur Entfernung hab ich auch keine gefunden.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:19:45, on 12.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\NETGEAR\WG111v3\WG111v3.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\S***l\Desktop\aida32ee_393\aida32.bin
C:\Dokumente und Einstellungen\S***l\Desktop\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v3\WG111v3.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/A...oadcontrol.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1805733E-B5F9-4429-BCEB-A7D127E137F9}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1805733E-B5F9-4429-BCEB-A7D127E137F9}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: MySql - Unknown owner - C:/xampp/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 7135 bytes

FieserMöpp 13.06.2009 09:49
http://img190.imageshack.us/img190/1672/operahgq.th.jpg

Das kommt direkt beim Start des PCs, nachdem ich die Firewall auf "Nachfragen" beim Prozeß opera.exe gestellt habe. Wie gesagt, der Browser ist nicht aktiv. Soweit ich das nachverfolgen konnte, startet der Prozeß erst als updater.exe und benennt sich im Taskmanager recht schnell in opera.exe um.

FieserMöpp 13.06.2009 13:52
Hm, isses so schlimm dass sich keiner traut es mir zu sagen, oder ist mein Problem zu uninteressant :heulen:

FieserMöpp 15.06.2009 16:55
Bitte bitte erbarme sich doch mal jemand :knuddel:

Angel21 15.06.2009 17:06
Hallo.

lass mal folgende 3 Programme laufen:

1. http://www.trojaner-board.de/51187-a...i-malware.html
2. http://www.trojaner-board.de/51871-a...tispyware.html

3. GMER - Rootkit Detection
  • Lade Gmer von hier
  • entpacke es auf den Dektop
  • Doppelklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.
Logs alle hier herein.

Danach eine Uninstall Liste hier rein:
- Öffne die Hijackthis.exe
- Open the Misc Tool Section
- Open Uninstall Manager
- Save List
Liste hier rein

FieserMöpp 15.06.2009 17:44
Vielen Dank! Bin bereits dabei! :party:

FieserMöpp 15.06.2009 22:22
Numero Uno:

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2283
Windows 5.1.2600 Service Pack 3

15.06.2009 23:20:43
mbam-log-2009-06-15 (23-20-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 318724
Laufzeit: 4 hour(s), 41 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 18
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{29a5ea88-29a5-ea88-29a5-ea8829a5ea88} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0713e8a2-850a-101b-afc0-4210102a8da7} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0713e8a8-850a-101b-afc0-4210102a8da7} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0713e8d8-850a-101b-afc0-4210102a8da7} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{373ff7f0-eb8b-11cd-8820-08002b2f4f5a} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{58da8d8a-9d6a-101b-afc0-4210102a8da7} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{58da8d8f-9d6a-101b-afc0-4210102a8da7} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{58da8d93-9d6a-101b-afc0-4210102a8da7} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5acbb955-5c57-11cf-8993-00aa00688b10} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5acbb956-5c57-11cf-8993-00aa00688b10} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5acbb957-5c57-11cf-8993-00aa00688b10} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{612a8624-0fb3-11ce-8747-524153480004} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6b7e638f-850a-101b-afc0-4210102a8da7} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6b7e6393-850a-101b-afc0-4210102a8da7} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6b7e63a3-850a-101b-afc0-4210102a8da7} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9ed94440-e5e8-101b-b9b5-444553540000} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{cf9d9843-1855-b218-0cd1-5cd3b7f65f23} (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\The Weather Channel (Adware.Hotbar) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\S****\Desktop\Toolz\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\S****\Anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.

FieserMöpp 16.06.2009 05:59
Nummer 2:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 06/16/2009 at 02:21 AM

Application Version : 4.26.1004

Core Rules Database Version : 3940
Trace Rules Database Version: 1882

Scan type : Complete Scan
Total Scan Time : 02:46:08

Memory items scanned : 458
Memory threats detected : 0
Registry items scanned : 5954
Registry threats detected : 0
File items scanned : 214481
File threats detected : 6

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\S***\Cookies\seppl@ad.zanox[1].txt
C:\Dokumente und Einstellungen\S****\Cookies\seppl@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\S****\Cookies\seppl@traffictrack[2].txt
C:\Dokumente und Einstellungen\S****\Cookies\seppl@www.netdebit-counter[1].txt
C:\Dokumente und Einstellungen\S****\Cookies\seppl@a6.adserver01[2].txt

Adware.Vundo/Variant-MSFake
D:\GAMES\AGE OF EMPIRES II\NORMAL2.0A\EMPIRES2.EXE

Angel21 16.06.2009 13:50
Hallo,

mich wundern deine Infizirungen gar nicht.

Siehe hier:
Zitat:
Infizierte Dateien:
c:\dokumente und einstellungen\S****\Desktop\Toolz\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Schau mal hier noch nach: YouTube - Effects of crack programs and keygens on your PC


Und hier noch weiterführend: http://www.trojaner-board.de/73675-i...t-werbung.html
http://www.trojaner-board.de/73703-u...e-browser.html
http://www.trojaner-board.de/73187-w...urz-virus.html
http://www.trojaner-board.de/72583-tr-dropper-gen.html

Tja, wer Software klauen möchte, wird auch nicht mit Hilfe rechnen können, da hilft dir nur eines zu tun: http://www.trojaner-board.de/51262-a...sicherung.html

Überlege dir mal gut, was du mit Keygens und Cracks antust.
Die sind alle verseucht, du hast dir selber deine Sicherheit zunichte gemacht.

Cuu

FieserMöpp 16.06.2009 16:56
Hm, das ist natürlich Schei*e. Ich gebs ja zu, ich war böse und hab den Mist jetzt auf dem PC. Sorry :(
Gibt es wirklich keine andere Möglichkeit als das System neu aufzusetzen? *seufz* Jedenfalls lasse ich mir dies eine Lehre sein und gelobe Besserung.

Angel21 16.06.2009 17:24
Nene, wir machen keine Ausnahmen, aber Neuaufsetzen müsstest du sowieso mal, anhand deiner Unnötigen Programme, die du alles hast. Wäre es eh am besten und alles.
Das Neuaufsetzen bringt deinen PC mal wieder in Schwung und Ordnung :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131