Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Firefox mach momentan Probleme (https://www.trojaner-board.de/77539-firefox-mach-momentan-probleme.html)

Julieh 16.09.2009 15:21
Firefox mach momentan Probleme
 
Hallo erstmal.
Mein Firefox spinnt seit einiger Zeit. Wenn ich Firefox starte komm immer der Mozilla Absturz-Melder egal wie oft, oder wann ich firefox öffne. Ich dachte mir, ich ändert mal den name von firefox.exe in fox.exe hat geklappt. Dann ging Firefox auch.

Ich hab hier mal mein Hijackthis-Log für euch:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:06, on 16.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATKGFNEX\GFNEXSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATK Hotkey\HcontrolUser.exe
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\Programme\ATK Hotkey\MsgTranAgt.exe
C:\Programme\ATKOSD2\ATKOSD2.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Atheros\ACU.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\Tiny Utilities\Vitrite\Vitrite.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\WINDOWS\system32\acovcnt.exe
C:\Programme\ATK Hotkey\KBFiltr.exe
C:\Programme\ATK Hotkey\WDC.exe
C:\Programme\Avira\AntiVir Desktop\update.exe
C:\Programme\Mozilla Firefox\fox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HControlUser] "C:\Programme\ATK Hotkey\HcontrolUser.exe"
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [MsgTranAgt] "C:\Programme\ATK Hotkey\MsgTranAgt.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Programme\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ACMON] "C:\Programme\ASUS\Splendid\ACMON.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CryptLoad] C:\Dokumente und Einstellungen\Julien\Desktop\RouterClient.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Vitrite.lnk = C:\Programme\Tiny Utilities\Vitrite\Vitrite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186083200500
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Programme\ATKGFNEX\GFNEXSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

--
End of file - 7048 bytes
Könntet ihr mir vielleicht helfen? Danke!

Julieh 16.09.2009 15:43
Du hast mir soeben aus dem Mund gesprochen, und konntest es besser erklären. Internet Explorer noch nicht getestet. Aber Opera geht!



EDIT: Firefox hat vorher ein Update gemacht, Java und Flash oder so. Und danach ging es nicht mehr.

Julieh 16.09.2009 16:10
Okay, dann haben wir 2 verschiedene Probleme. Bei dir ist es der mmplayer.exe

Lad ihn mal auf Virustotal hoch, dann siehst du es ;)

Und dann pack ihn in Quarantäne ;)

Edit: Hab ich falsch verstanden. MMPLAYER.exe wurde blockiert? Oder befindet sie sich in dem Ordner anwendungsdaten\adobe\ ?
Wenn ja: Quarantäne!

Julieh 16.09.2009 16:26
In deinem HiJackthis log hab ich den mmplayer.exe nicht gesehen. Aber wenn er da ist - fixen!

Und ich hatte das Problem früher auch mal, doch jetzt ists was anderes ;)

john.doe 16.09.2009 17:50
@flips11

Bitte eröffne dein eigenes Thema, dieses hier gehört Julieh. Auch wenn du denkst, es wäre das gleiche Problem, sei sicher, es ist es nicht! Klicke hier drauf => http://www.trojaner-board.de/newthre...=newthread&f=8

@Julieh
Zitat:
Julieh Liest ein Thema
Anleitung: GMER - Rootkit Scanner
Ja, das ist richtig. Im HJT-Log ist nichts zu entdecken, trotzdem hast du Probleme. Poste bitte das Log von GMER und beide Logs von RSIT.

ciao, andreas

Julieh 16.09.2009 17:51
.. gmer runterladen und checken und rsit informationen uploaden.

Malwarebytes hat was gefunden 1 Registrierungsschlüssel - Quarantäne und Gelöscht. [Userinit.exe]

Und SUPERAntiSpyware läuft gerade. Und hat bisher 1 Virus gefunden!

GMER kann gleich erst gestartet werden - Scanner laufen noch.

Und RSIT-Logs hab ich archiviert:

Danke schonmal!

EDIT: Malwarebytes Log

Code:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2811
Windows 5.1.2600 Service Pack 3

16.09.2009 18:42:20
mbam-log-2009-09-16 (18-42-20).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 178177
Laufzeit: 1 hour(s), 27 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\...\Desktop\ORDNER\cryptload\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
MUSS ICH AUCH AKTIVE GUARDS FÜR GMER DEAKTIVIEREN?

Julieh 16.09.2009 18:42
Hier das gmer log. ich konnte nicht ganz zu ende machen, pc ging aus, weil ich das akku-kabel zu spät gefunden habe.

Code:
GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-16 19:39:54
Windows 5.1.2600 Service Pack 3
Running: cg5k7mmx.exe; Driver: C:\DOKUME~1\Julien\LOKALE~1\Temp\fxtdapog.sys


---- System - GMER 1.0.15 ----

SSDT            98F5C5B6                                ZwCreateKey
SSDT            98F5C5AC                                ZwCreateThread
SSDT            98F5C5BB                                ZwDeleteKey
SSDT            98F5C5C5                                ZwDeleteValueKey
SSDT            98F5C5CA                                ZwLoadKey
SSDT            98F5C598                                ZwOpenProcess
SSDT            98F5C59D                                ZwOpenThread
SSDT            98F5C5D4                                ZwReplaceKey
SSDT            98F5C5CF                                ZwRestoreKey
SSDT            98F5C5C0                                ZwSetValueKey
SSDT            98F5C5A7                                ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

john.doe 16.09.2009 18:53
Zitat:
Hier das GMER log. ich konnte nicht ganz zu ende machen
Dann mache es nochmal mit "Akkukabel". Besser ist das. :)

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:22 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129