Merkwürdige Einträge!
 

Hallo miteinander,

und zwar wie öfters habe ich mal wieder HiJackThis Logs durchlaufen lassen.

Nur kommen mir jetzt zwei Einträge kommisch vor und die ich nicht ganz verstehe.

O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

Dazu kam das ich mir vor längerer zeit für messenger ein Vidio program ladete was Webcam Sitzungen aufzeichnet.

Nach einiger Zeit wollte ich dies wieder loswerden hab es gelöscht nur jetzt taucht es immer wieder auf beim Hochfahren..

Wie kann ich den endgültig loswerden? :confused:

Ich poste mal das ganze File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:36, on 07.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TeamViewer\Version4\TeamViewer_Service.exe
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Programme\Mobile Partner\Mobile Partner.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSN Webcam Recorder] "C:\Programme\MSN Webcam Recorder\ml20gui.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242756341750
O17 - HKLM\System\CCS\Services\Tcpip\..\{34F342EC-E6B7-4CD5-8636-7A69E91F0AA7}: NameServer = 81.3.216.100 194.24.128.100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Programme\TeamViewer\Version4\TeamViewer_Service.exe

--
End of file - 6611 bytes


Ich hoffe ihr könnt mir Helfen.

LG Michaela

Hallo...und :hallo:

prismsta.exe Windows Prozess - Was ist das?

khalmnpr.exe - Was ist khalmnpr.exe?

Wenn du willst, kannst du die Dateien, zur Sicherheit, trotzdem überprüfen lassen bei Virustotal.

Folgende Einträge bitte fixen:
Folgenden Eintrag bitte bei Virustotal auswerten lassen:

Deinstaliere:
- Spybot -> wird allgemein, hier im Forum, von abgeraten.
- alle "unnötigen" Toolbars.



Arbeite bitte folgende Links ab:
http://www.trojaner-board.de/51464-a...ccleaner.html?
http://www.trojaner-board.de/54192-a...ellungen.html?
http://www.trojaner-board.de/51187-a...-malware.html?

Hallo,

Es waren nur zwei Dateien drinnen die stehen zum fixen nicht 4.

2 habe ich gefunden und gefixt andere zwei waren nicht vorhanden.

Spyot? Ist schon längst Deinstalliert.

Ist nirgendst mehr zu finden laut Software ist der nicht mehr vorhanden und auch nicht mehr am Desktop.

CCleaner habe ich heute schon durchgeführt da ich ihm schon drauf habe und habe gereinigt und in der Registry gelöscht was er nicht mochte.

Wenn du den Bericht haben möchtest wo finde ich den? :confused:

Alles andere werde ich jetzt durchlaufen lassen auch nochmal zum zweiten mal da ich Maleware Bites auch verwendete und dieser nichts fand.

Ich aber denn Bericht löschte. :headbang:


Ahh welche Toolbars?
LG Michaela

Haum ich befürchte, dass du Recht hast, mit den doppelten Einträgen.^^

Sollte eigentlich unter "Scanberichte" zu finden sein in Malewarebytes.

Hallo,

also ich habe jetzt Male Ware Bites drüber laufen lassen das kam raus:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2174
Windows 5.1.2600 Service Pack 3

07.08.2009 23:14:00
mbam-log-2009-08-07 (23-14-00).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 81157
Laufzeit: 4 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Haum ich befürchte, dass du Recht hast, mit den doppelten Einträgen.^^

Was heisst das? :confused:

Ja nur dort habe ich alles gelöscht die Berichte da ich das öfters Laufen lasse alles und irgendwan die Speicherungen voll werden.

Monitor.exe

TeamViewer_Servic e.exe

Blöde frage aber wo finde ich das?

Die wollen das ich dort was Hochlade nur ich finde die Datei nicht das Suchergebniss zu Team Viewer ergab 176 Dateien..:confused:

und zu Monitor exe fand er gar nichts.

Malewarebytes sieht ja ganz gut aus.
Zur Sicherheit führst du Superantispyware noch einmal aus:
http://www.trojaner-board.de/51871-a...ispyware.html?

War bezogen auf meinen eigenen Fehler.

Die beiden Dateien findest du entweder in dem du sie suchst, per Suchfunktion
Start->Suchen "....." Enter, oder indem du den Pfad "nachklickst".
C:\Programme\TeamViewer\Version4\TeamViewer_Servic e.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
Nur die exe.Dtei hochladen...

Hallo,

also ich bin dabei das durchlaufen zu lassen.

Dauert nur.

Bis jetzt hat er 4 gefunden.

Ich lasse den weiter laufen jetzt.

Mal schauen was er weiter sagt.

Hallo,

also ich habe ihn durchlaufen lassen hier das Ergebniss:


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/08/2009 at 01:52 AM

Application Version : 4.27.1002

Core Rules Database Version : 4044
Trace Rules Database Version: 1984

Scan type : Complete Scan
Total Scan Time : 01:15:56

Memory items scanned : 682
Memory threats detected : 0
Registry items scanned : 4407
Registry threats detected : 0
File items scanned : 50236
File threats detected : 4

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Harald\Cookies\harald@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Harald\Cookies\harald@pro-market[2].txt
C:\Dokumente und Einstellungen\Harald\Cookies\harald@atdmt[2].txt
C:\Dokumente und Einstellungen\Harald\Cookies\harald@ad.yieldmanager[1].txt


Wurde in Quarantäne und dann gelöscht.

LG Michaela

Das sind "nur" Cookies, die sind normal.
Du brauchst dir keine Sorgen zu machen.
Die Suche mit Superantispyware war nur zur Sicherheit.
Hin und wieder findet MBAM nicht alles.


Was sagen die Auswertungen von Virustotal?

Hallo,

sorry das ich mich nicht meldete aber ich bin grad erst nach Hause gekommen. :)

Das ist gut das es nur Cockies waren.

Virustool so wie ich es entzifern konnte ist es nichts schlimmes Dateien die dazu gehören.

Danke dir für die Hilfe.

LG Michi