Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   musikrechner verseucht hilfe (https://www.trojaner-board.de/69569-musikrechner-verseucht-hilfe.html)

christoph281 04.02.2009 05:22
musikrechner verseucht hilfe
 
hi jungs,

is schon ne weile her als ich mal eure hilfe gebraucht habe.
ich dachte mir jetzt wo ich weiß wie man sich schützt und sich im internet verhält passiert mir auch nix nur keiner hat mit meiner faulheit gerechnet.

normalerweise benutz ich zum surfen und downloaden einen eigens dafür eingestellten rechner mit gekaufter viren engine beschränkten rechten usw.

zum musik produzieren benutze ich ein notebook ... jedenfalls sitz ich heut so und schraube an musik rum und komm nich weiter weils grad an kreativität hapert. dachte ich mir ich schau mal was es so für softwaresyntheziser gibt zum ausprobieren um mal mit was neuem rumzuspielen. nun war ich zu faul meinen internetrechner hoch zu fahren und schalt wlan am notebook an...
muss dazu auch sagen dass man beim musikproduzieren immer den virenwächter ausstellen muss weil dieser zu viel leistung brauch und meinen seqenzer ableton live fahr ich bei manchen produktionen immer fast an die wand. also wat hab ick gemacht in meiner dummheit... mit adminrechten ohne virenwächter erstmal die nächstbeste exe geladen welche als ein bekanntes softwareplugin deklariert war allerdings in einem downloardforum wo jeder uploaden kann was er will... ich die exe ausgeführt...
und wat passiert!?

NIX!

bin natürlich gleich bleich geworden und mir war klar wie dumm ich grade war. schnell mein virusprogram an und die exe gescannt mit dem ergebnis dass ein trojaner drin is... nich weiter bekannt welcher genau.

jetzt is genau das passiert was ich immer vermieden hab indem ich nen extra rechner zum sufen aufgebaut hab... ihr glaubt nich wie peinlich mir das is.

könnt den rechner ja platt machen aber ihr könnt euch nich vorstellen was es bedeutet alles neu zu installieren. ich hab ne komplette woche immer nach feierabend daran gesessen dieses notebook zum digitalen musikproduktionsstudio zu machen.

ich hoffe ihr könnt mir wieder helfen. mein dank sei euch garantiert.

liebe grüße aus berlin von christoph


und hier die HJT log

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:14:26, on 04.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Hewlett-Packard\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: OneCard - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: SWIHPWMI - Sierra Wireless Inc. - c:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

--
End of file - 9245 bytes

christoph281 04.02.2009 12:07
mitlerweile reagiert der gdate virenwächter und hat die datei A001707.exe aus dem verzeichnis C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP107 in quarantäne verschoben.

deklariert als : Trojan.Generic.1153802

jungst jetzt wirds ernst... hab schiss :schmoll:

christoph281 05.02.2009 15:25
mag mir denn keiner helfen? :(

christoph281 06.02.2009 15:15
bitte :schmoll:

Leonidas88 06.02.2009 16:06
Lade die fragliche exe bei Virustotal hoch und poste das Ergebniss

christoph281 07.02.2009 16:47
mittlerweile sind es aber schon 16 verschiedene... kann ne weile dauern. ich denke mal es werden ständig viren nachgeladen. sagt meine HJT log nix?

christoph281 07.02.2009 16:51
hier mal ne frische denn die alte log is ja mitlerweile schon nich mehr aktuell garantiert... außerdem wurde die gleich in den ersten 15min des befalls erstellt.

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:12, on 07.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\emaudsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
C:\Programme\Hewlett-Packard\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Creative Professional\E-MU USB Audio\E-MU USB Audio\EmuUsbAudioCP.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [E-MU USB Audio Control Panel] "C:\Programme\Creative Professional\E-MU USB Audio\E-MU USB Audio\EmuUsbAudioCP.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: OneCard - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: E-MU Audio Service (emaudsv) - E-MU Systems - C:\WINDOWS\system32\emaudsv.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: SWIHPWMI - Sierra Wireless Inc. - c:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

--
End of file - 9767 bytes

christoph281 07.02.2009 17:18
und hier das aktuelle protokoll der letzten virenprüfung aller festplatten.
also ich glaube einige davon sind keygens... bei manchen reagieren ja virenprogramme drauf obwohl se sauber sind.

Code:
Virenprüfung mit G DATA AntiVirus
Version 19.1.0.0 (29.10.2008)
Virensignaturen vom 07.02.2009
Job: Lokale Festplatten
Startzeit: 07.02.2009 06:56
Engine(s): Engine A (AVA 19.3676), Engine B (AVB 19.215)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Ein

Prüfung der Systembereiche...
Prüfung auf RootKits...
Prüfung aller lokalen Festplatten...
Objekt: wise0017
        In Archiv: C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP100\A0010135.exe
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: A0010135.exe
        Pfad: C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP100
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: A0010460.exe
        Pfad: C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP102
        Status: Datei in Quarantäne verschoben
        Virus: Win32:Trojan-gen {Other} (Engine B)
Objekt: A0010578.exe
        Pfad: C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP104
        Status: Datei in Quarantäne verschoben
        Virus: Trojan.Packed.34184 (Engine A)
Objekt: A0010579.exe
        Pfad: C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP104
        Status: Datei in Quarantäne verschoben
        Virus: Trojan.Packed.34184 (Engine A)
Objekt: wise0017
        In Archiv: C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP84\A0004567.exe
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: A0004567.exe
        Pfad: C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP84
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: wise0017
        In Archiv: C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP97\A0009899.exe
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: A0009899.exe
        Pfad: C:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP97
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: keygen.exe
        Pfad: F:\studio\nützliches zu live\vst plugins installer\diverse effekte\effektrix
        Status: Datei in Quarantäne verschoben
        Virus: Win32:Trojan-gen {Other} (Engine B)
Objekt: SugarBytes.Effectrix.VST.v1.2.Incl.Keygen-AiR\a-sbe120.zip\a-sbe120.rar\keygen.exe
        In Archiv: F:\studio\nützliches zu live\vst plugins installer\diverse effekte\effektrix\SugarBytes.Effectrix.VST.v1.2.Incl.Keygen-AiR.rar
        Status: Virus gefunden
        Virus: Win32:Trojan-gen {Other} (Engine B)
Objekt: SugarBytes.Effectrix.VST.v1.2.Incl.Keygen-AiR.rar
        Pfad: F:\studio\nützliches zu live\vst plugins installer\diverse effekte\effektrix
        Status: Virus gefunden
        Virus: Win32:Trojan-gen {Other} (Engine B)
Objekt: air-sokg.exe
        Pfad: F:\studio\omnisphere\keygen
        Status: Datei in Quarantäne verschoben
        Virus: Trojan.Packed.34184 (Engine A)
Objekt: SugarBytes.Effectrix.VST.v1.2.Incl.Keygen-AiR\a-sbe120.zip\a-sbe120.rar\keygen.exe
        In Archiv: F:\studio\vst plugins installer\diverse effekte\effektrix\SugarBytes.Effectrix.VST.v1.2.Incl.Keygen-AiR.rar
        Status: Virus gefunden
        Virus: Win32:Trojan-gen {Other} (Engine B)
Objekt: SugarBytes.Effectrix.VST.v1.2.Incl.Keygen-AiR.rar
        Pfad: F:\studio\vst plugins installer\diverse effekte\effektrix
        Status: Virus gefunden
        Virus: Win32:Trojan-gen {Other} (Engine B)
Objekt: wise0017
        In Archiv: F:\studio\vst plugins installer\synths\setup minimoog.exe
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: setup minimoog.exe
        Pfad: F:\studio\vst plugins installer\synths
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: wise0017
        In Archiv: F:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP109\A0011444.exe
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: A0011444.exe
        Pfad: F:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP109
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: A0011372.exe
        Pfad: G:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP109
        Status: Virus konnte nicht entfernt werden
        Virus: Win32:Trojan-gen {Other} (Engine B) (Engine B)
Objekt: wise0017
        In Archiv: G:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP109\A0011373.exe
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: A0011373.exe
        Pfad: G:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP109
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: A0011391.exe
        Pfad: G:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP109
        Status: Datei in Quarantäne verschoben
        Virus: Win32:Trojan-gen {Other} (Engine B)
Objekt: wise0017
        In Archiv: G:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP99\A0010002.exe
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)
Objekt: A0010002.exe
        Pfad: G:\System Volume Information\_restore{3E6DD08B-5A81-41CD-AE69-A76B50FD88B0}\RP99
        Status: Virus gefunden
        Virus: Trojan.Packed.38378 (Engine A)

Analyse vollständig durchgeführt: 07.02.2009 13:16
    86302 Dateien überprüft
    16 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden

christoph281 07.02.2009 17:24
die dateien lassen sich nicht hochladen bei virus total. der ordner system volume informationen is auch zugriffsberechtigt gemacht.

???

also ich komm nich mehr weiter? wat soll ich nu machen? langsam hab ich echt panik denn der rechner hat teilweise software drauf da hab ich 10jahre lang für gespart und jahrelang drann modifiziert.

ich werd mal MBAM drüberlaufen lassen und wat ich sonst noch so für virensoftware finde hier. kann echt nich still sitzen und der befall is nun schon nen paar tage her... wer weiß wie lange ich noch zugriff hab auf meine dateien und programme.

KarlKarl 07.02.2009 18:12
hi
Zitat:
also ich glaube einige davon sind keygens... bei manchen reagieren ja virenprogramme drauf obwohl se sauber sind.
Das glaube ich auch, wobei die meisten Keygens auch Malware auf dem System installieren, das ist eben der Preis dafür, dass sie auch einen Key erzeugen.
Zitat:
der rechner hat teilweise software drauf da hab ich 10jahre lang für gespart und jahrelang drann modifiziert.
Passt irgendwie nicht zu den Keygens. Und wenn die Installation wirklich so wertvoll wäre, dann wäre sie als Image auf mehreren externen Platten gesichert, die räumlich voneinander getrennt in Tresoren gelagert würden.
Zitat:
wer weiß wie lange ich noch zugriff hab auf meine dateien und programme.
Dann nutze die Zeit und sichere die Dateien. Programme lassen sich neu installieren. Irgendwann wird auch die Festplatte ihre geplante Lebensdauer überschritten haben, einmal kurz knirschen und dann tot sein.

Aber die Keygen-Nummer stößt nicht auf Begeisterung, das wird immer häufiger unter "selbst schuld, einfach mal wieder formatieren" abgelegt.

Karl

Kaos 08.02.2009 00:41
Lösche die Dateien in den Ordnern F:\Studio\..... wie sie in deinem Log von Post #8 stehen.

Systemwiederherstellung auf allen Laufwerke deaktivieren. Danach neustarten und erneut scannen.

Prüfe deinen PC auch mit Malwarebytes Anti-Malware mit einem kompletten scan und vorher Updaten nicht vergessen.

Wenn dein Rechner sauber ist, kannst du die Systemwiederherstellung wieder aktivieren. Aber nur wenn nichts mehr an Malware drauf ist, ansonsten Speichert er die gleich wieder in die Wiederherstellungspunkte.

christoph281 09.02.2009 12:01
kann ja nich viel software als "längere demo" benutzen... spätestens beim veröffentlichen muss ich beweisen das ich die lizenzen hab für alles.
gerade was syths und seqenzer angeht. und natürlich habe ich backups und kopien. aber ich weiß jetzt nicht wieviel du von DAW´s verstehst also von digital audio workstations. da gibts unzählige presets für effekte und synthese von mir und diese sind bei neuinstallation verloren. dann müssen einige vst und die daw selbst wieder meinen ansprüchen nach justiert werden... das ganze wieder installieren und die zig software anmeldungen bei den herstellern... ne woche brauch man schon.

ja es is nich die feine art mit keygens aber manche software dieser art kosten nunmal ab 400€ aufwärts und ich möcht sie dann schon länger testen könn als 14tage. das der mist auch noch malware hinterherlädt schockt mich aber jetzt schon.

ich zieh jetzt erstmal dein programm durch und meld mich wenn ich durch bin.
is denn meine HJT log sauber oder arbeitet da schon was im hintergrund?

danke für deine hilfe

christoph281 09.02.2009 13:28
MBAM log

quarantäne hab ich danach gelöscht.

Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1740
Windows 5.1.2600 Service Pack 3

09.02.2009 13:24:28
mbam-log-2009-02-09 (13-24-28).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 124118
Laufzeit: 36 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cognizancets (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Hewlett-Packard\IAM\Bin\ASTSVCC.dll (Trojan.Agent) -> Quarantined and deleted successfully.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131