Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner trotz Neuinstallation? Was sagt ihr zu dieser .exe? (https://www.trojaner-board.de/96729-trojaner-trotz-neuinstallation-sagt-exe.html)

SilentOne 22.03.2011 21:09
Trojaner trotz Neuinstallation? Was sagt ihr zu dieser .exe?
 
Weil ich unter Windows XP einen Virus / Trojanerbefall hatte, habe ich Windows 7 Installiert und die Festplatten formatiert.

Nach der Installation sagt mir Hijackthis immernoch unbekannte und gefährliche Prozesse an. Da wäre eine FlashUtil10o_ActiveX.exe

Diese hat sich direkt beim ersten Start von Windows Installiert, das Fenster ist auch vor ein paar Tagen bei meinem Xp gekommen. Und wegen dem Macromedia Logo usw. kam mir das seriös vor. Es kann sich halt "echt" sein oder "gefälscht".

Bei der Installation hat sich ein Verzeichnis gebildet C:\Windows\System32\Macromed\Flash in dem die besagte .exe zu finden ist.
Als erstes hab ich versucht zu überprüfen wie seriös diese .exe ist! Google sagt wirklich wenig über diese Datei und hat sogar einen Änderungsvorschlag (hxxp://www.google.com/search?btnG=1&pws=0&q=FlashUtil10o_ActiveX.exe).
Ich denke hacker tarnen gerne Dinge und ändern einfach mal einen Buchstaben, vielleicht hier der Fall?

Ein Virustotal scan dieser Datei sagt das sie clean sei!


Außerdem merkwürdig: "R3 - URLSearchHook: (no name) - - (no file)"
Wird als schädlich angezeigt, soll zur ICQ Toolbar gehören - wurde von mir Installiert!


Meine Fragen:

- Ist das ein verdacht auf weiteren Virenbefall?
- Kann der Trojaner irgendwo im System so verschanzt sein dass er von einer Fragmentierung und Neuinstallation nicht betroffen ist?
- Kann der Hacker vielleicht diese "Macromedia Flash Meldung" ausgelöst haben? Ich stelle mir das wie eine Art Angriff auf eine gezielte IP Adresse vor. Also der selbe PC im Internet verbunden - Meldung - Installation!



EDIT: Es ist eine unbekannte .exe dazu gekommen: "O4 - Global Startup: Anleitung.exe" - handelt es sich da um eure Scan Anleitung?

kira 23.03.2011 07:29
Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)
Zitat:
Zitat von SilentOne (Beitrag 632059)
Außerdem merkwürdig: "R3 - URLSearchHook: (no name) - - (no file)"
Wird als schädlich angezeigt, ...
richtig angezeigt!
Zitat:
Zitat von SilentOne (Beitrag 632059)
soll zur ICQ Toolbar gehören - wurde von mir Installiert!
- meiste Toolbars sind grundsätzlich unerwünscht und unnötig
- ICQ:
Gilt als unsicher. ICQ hacking, Nachrichten und Passwörter auslesen nicht seltenheit! Beispiel:-> ICQ hacking - Nachrichten und Passwoerter auslesen - wie unsicher ist ICQ?

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählenHäckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
R3 - URLSearchHook: (no name) - - (no file)
3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

4.
Zitat:
**Vor dem Löschen temporärer Dateien sollte man unbedingt alle Anwendungen beenden!
**lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind,nicht löschbar.
Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...Inhalt markieren-> löschen

5.
Öffne CCleaner
  • "Cleaner"-->"Analysieren"-->Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
  • Starte dein System neu auf

6.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du

wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

7.
Erstelle und poste nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
gruß
Coverflow

SilentOne 23.03.2011 17:24
Danke für die Antwort! Super das einem hier geholfen wird :)

Malware Scan hat nichts gefunden, scheint soweit sauber zu sein.

Habe den
Code:
R3 - URLSearchHook: (no name) - - (no file)
Prozess gefixed und nach dem Neustart wird er nichtmehr ausgeführt!

Ccleaner habe ich auch durchlaufen lassen wie beschrieben, hier die Installierten Programme:
Code:
Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        21.03.2011        6,00MB        10.2.153.1
CCleaner        Piriform        22.03.2011                3.04
ERUNT 1.1j        Lars Hederer        21.03.2011               
ICQ Toolbar        ICQ        21.03.2011                3.0.0
ICQ7.4        ICQ        21.03.2011                7.4
Malwarebytes' Anti-Malware        Malwarebytes Corporation        22.03.2011        10,5MB       
Microsoft Silverlight        Microsoft Corporation        21.03.2011        20,4MB        4.0.50401.0
Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        21.03.2011                6.0.1.6316
Windows Live Essentials        Microsoft Corporation        22.03.2011                15.4.3508.1109
Dazu dann die HJTScanlist:
Code:

                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                        º                                    º
                                    hjtscanlist v2.0             
                        º                                    º
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

Microsoft Windows [Version 6.1.7600]
 
 
C:

  23.03.2011 15:04    C:\Windows --------- 16384 
      C:\pagefile.sys ---------   
      C:\hiberfil.sys ---------   
  23.03.2011 14:44    C:\Program Files --------- 8192 
  23.03.2011 14:37    C:\ProgramData --------- 4096 
  22.03.2011 20:01    C:\System Volume Information --------- 4096 
  22.03.2011 18:53    C:\$Recycle.Bin --------- 0 
  22.03.2011 18:52    C:\Users --------- 4096 
  22.03.2011 18:52    C:\Recovery --------- 0 
  22.03.2011 18:52    C:\Programme --------- 0 
  22.03.2011 18:52    C:\Dokumente und Einstellungen --------- 0 
  22.03.2011 18:44    C:\BOOTSECT.BAK --------- 8192 
  22.03.2011 18:44    C:\Boot --------- 4096 
  14.07.2009 05:53    C:\Documents and Settings --------- 0 
  14.07.2009 03:37    C:\PerfLogs --------- 0 
  14.07.2009 02:38    C:\bootmgr --------- 383562 
  10.06.2009 22:42    C:\config.sys --------- 10 
  10.06.2009 22:42    C:\autoexec.bat --------- 24 
----------------------------------------

 
C:\Windows

  23.03.2011 16:42    C:\Windows\bootstat.dat --------- 67584 
  23.03.2011 16:46    C:\Windows\WindowsUpdate.log --------- 1046847 
  23.03.2011 15:04    C:\Windows\setupact.log --------- 112 
  23.03.2011 15:04    C:\Windows\setuperr.log --------- 0 
  09.02.2011 15:56    C:\Windows\RtlExUpd.dll --------- 1284712 
  14.07.2009 05:54    C:\Windows\win.ini --------- 403 
  14.07.2009 05:41    C:\Windows\WindowsShell.Manifest --------- 749 
  14.07.2009 02:16    C:\Windows\twain_32.dll --------- 51200 
  14.07.2009 02:14    C:\Windows\write.exe --------- 9216 
  14.07.2009 02:14    C:\Windows\winhlp32.exe --------- 9728 
  14.07.2009 02:14    C:\Windows\twunk_32.exe --------- 31232 
  14.07.2009 02:14    C:\Windows\regedit.exe --------- 398336 
  14.07.2009 02:14    C:\Windows\notepad.exe --------- 179712 
  14.07.2009 02:14    C:\Windows\hh.exe --------- 15360 
  14.07.2009 02:14    C:\Windows\HelpPane.exe --------- 497152 
  14.07.2009 02:14    C:\Windows\fveupdate.exe --------- 13824 
  14.07.2009 02:14    C:\Windows\explorer.exe --------- 2613248 
  14.07.2009 02:14    C:\Windows\bfsvc.exe --------- 65024 
  13.07.2009 23:58    C:\Windows\mib.bin --------- 43131 
  10.06.2009 22:46    C:\Windows\system.ini --------- 219 
  10.06.2009 22:42    C:\Windows\_default.pif --------- 707 
  10.06.2009 22:42    C:\Windows\winhelp.exe --------- 256192 
  10.06.2009 22:41    C:\Windows\twunk_16.exe --------- 49680 
  10.06.2009 22:41    C:\Windows\twain.dll --------- 94784 
  10.06.2009 22:34    C:\Windows\WMSysPr9.prx --------- 316640 
  10.06.2009 22:19    C:\Windows\msdfmap.ini --------- 1405 
  10.06.2009 22:14    C:\Windows\Ultimate.xml --------- 51867 
  10.06.2009 22:14    C:\Windows\Starter.xml --------- 48201 
----------------------------------------

 
C:\Windows\System

 13.07.2009 22:41      C:\Windows\System\OLESVR.DLL --------- 24064
 13.07.2009 22:41      C:\Windows\System\WFWNET.DRV --------- 12704
 13.07.2009 22:41      C:\Windows\System\COMMDLG.DLL --------- 32816
 13.07.2009 22:41      C:\Windows\System\TIMER.DRV --------- 4048
 13.07.2009 22:41      C:\Windows\System\MMSYSTEM.DLL --------- 68992
 13.07.2009 22:41      C:\Windows\System\mmtask.tsk --------- 1152
 13.07.2009 22:41      C:\Windows\System\mouse.drv --------- 2032
 13.07.2009 22:41      C:\Windows\System\vga.drv --------- 2176
 13.07.2009 22:41      C:\Windows\System\sound.drv --------- 1744
 13.07.2009 22:41      C:\Windows\System\keyboard.drv --------- 2000
 13.07.2009 22:41      C:\Windows\System\SHELL.DLL --------- 5120
 13.07.2009 22:41      C:\Windows\System\system.drv --------- 3360
 10.06.2009 22:42      C:\Windows\System\ver.dll --------- 9008
 10.06.2009 22:42      C:\Windows\System\olecli.dll --------- 82944
 10.06.2009 22:42      C:\Windows\System\lzexpand.dll --------- 9936
 10.06.2009 22:25      C:\Windows\System\stdole.tlb --------- 5532
 10.06.2009 22:21      C:\Windows\System\msvideo.dll --------- 126912
 10.06.2009 22:21      C:\Windows\System\mciwave.drv --------- 28160
 10.06.2009 22:21      C:\Windows\System\mciseq.drv --------- 25264
 10.06.2009 22:21      C:\Windows\System\mciavi.drv --------- 73376
 10.06.2009 22:21      C:\Windows\System\avifile.dll --------- 109456
 10.06.2009 22:21      C:\Windows\System\avicap.dll --------- 69584
----------------------------------------

 
C:\Windows\System32

 23.03.2011 17:06    C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 --------- 12208 
 23.03.2011 17:06    C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 --------- 12208 
 23.03.2011 16:52    C:\Windows\system32\config --------- 12288 
 23.03.2011 16:47    C:\Windows\system32\perfh007.dat --------- 643628 
 23.03.2011 16:47    C:\Windows\system32\perfc009.dat --------- 103370 
 23.03.2011 16:47    C:\Windows\system32\perfc007.dat --------- 126188 
 23.03.2011 16:47    C:\Windows\system32\perfh009.dat --------- 606992 
 23.03.2011 16:47    C:\Windows\system32\PerfStringBackup.INI --------- 1472002 
 23.03.2011 16:42    C:\Windows\system32\wdi --------- 4096 
 23.03.2011 14:37    C:\Windows\system32\drivers --------- 65536 
 23.03.2011 14:34    C:\Windows\system32\catroot --------- 0 
 23.03.2011 14:34    C:\Windows\system32\catroot2 --------- 16384 
 22.03.2011 19:12    C:\Windows\system32\RTCOM --------- 0 
 22.03.2011 19:12    C:\Windows\system32\DriverStore --------- 4096 
 22.03.2011 19:09    C:\Windows\system32\restore --------- 0 
 22.03.2011 19:04    C:\Windows\system32\Macromed --------- 0 
 22.03.2011 18:59    C:\Windows\system32\CodeIntegrity --------- 0 
 22.03.2011 18:55    C:\Windows\system32\wbem --------- 65536 
 22.03.2011 18:50    C:\Windows\system32\FNTCACHE.DAT --------- 265640 
 22.03.2011 18:49    C:\Windows\system32\license.rtf --------- 57050 
 22.03.2011 18:48    C:\Windows\system32\sysprep --------- 0 
 22.02.2011 15:52    C:\Windows\system32\FMAPO.dll --------- 1730112 
 22.02.2011 13:20    C:\Windows\system32\RCoRes.dat --------- 820224 
 22.02.2011 11:16    C:\Windows\system32\RtkPgExt.dll --------- 2145896 
 18.02.2011 10:49    C:\Windows\system32\RtkAPO.dll --------- 3805288 
 17.02.2011 14:03    C:\Windows\system32\RtkApoApi.dll --------- 485992 
 16.02.2011 13:11    C:\Windows\system32\RtkCoInst.dll --------- 69224 
 02.02.2011 18:11    C:\Windows\system32\MpSigStub.exe --------- 222080 
 29.11.2010 18:48    C:\Windows\system32\WavesGUILib.dll --------- 1723536 
 29.11.2010 18:48    C:\Windows\system32\MaxxAudioRealtek.dll --------- 1439064 
 10.11.2010 02:54    C:\Windows\system32\sirenacm.dll --------- 49016 
 08.11.2010 07:31    C:\Windows\system32\RTEEP32A.dll --------- 359768 
 08.11.2010 07:31    C:\Windows\system32\RTEEL32A.dll --------- 78680 
 08.11.2010 07:31    C:\Windows\system32\RP3DHT32.dll --------- 295768 
 08.11.2010 07:31    C:\Windows\system32\RTEEG32A.dll --------- 64856 
 08.11.2010 07:31    C:\Windows\system32\RP3DAA32.dll --------- 295768 
 08.11.2010 07:31    C:\Windows\system32\RTEED32A.dll --------- 170840 
 03.11.2010 18:27    C:\Windows\system32\RTSndMgr.cpl --------- 1084008 
 03.11.2010 18:25    C:\Windows\system32\DTSSymmetryDLL.dll --------- 429160 
 03.11.2010 18:25    C:\Windows\system32\DTSVoiceClarityDLL.dll --------- 406120 
 03.11.2010 18:25    C:\Windows\system32\DTSS2SpeakerDLL.dll --------- 1132648 
 03.11.2010 18:25    C:\Windows\system32\DTSS2HeadphoneDLL.dll --------- 962664 
 03.11.2010 18:25    C:\Windows\system32\DTSLimiterDLL.dll --------- 224360 
 03.11.2010 18:25    C:\Windows\system32\DTSNeoPCDLL.dll --------- 291432 
 03.11.2010 18:25    C:\Windows\system32\DTSGFXAPONS.dll --------- 106600 
 03.11.2010 18:25    C:\Windows\system32\DTSLFXAPO.dll --------- 107112 
 03.11.2010 18:25    C:\Windows\system32\DTSGFXAPO.dll --------- 107112 
 03.11.2010 18:25    C:\Windows\system32\DTSBoostDLL.dll --------- 901224 
 03.11.2010 18:25    C:\Windows\system32\DTSGainCompensatorDLL.dll --------- 236648 
 03.11.2010 18:25    C:\Windows\system32\DTSBassEnhancementDLL.dll --------- 448616 
 02.11.2010 09:32    C:\Windows\system32\R4EEP32A.dll --------- 1705816 
 02.11.2010 09:32    C:\Windows\system32\R4EEL32A.dll --------- 96600 
 02.11.2010 09:32    C:\Windows\system32\R4EEG32A.dll --------- 61784 
 02.11.2010 09:32    C:\Windows\system32\R4EED32A.dll --------- 341848 
 02.11.2010 09:31    C:\Windows\system32\R4EEA32A.dll --------- 81240 
 03.10.2010 13:45    C:\Windows\system32\MaxxAudioAPO30.dll --------- 259928 
 27.09.2010 09:34    C:\Windows\system32\MaxxAudioAPO20.dll --------- 232792 
 21.09.2010 14:03    C:\Windows\system32\LIVESSP.DLL --------- 208768 
 22.07.2010 16:48    C:\Windows\system32\SFNHK.dll --------- 214352 
 22.07.2010 16:48    C:\Windows\system32\SFAPO.dll --------- 68944 
 22.07.2010 16:48    C:\Windows\system32\SFCOM.dll --------- 74064 
 22.07.2010 16:37    C:\Windows\system32\AERTACap.dll --------- 175200 
 11.07.2010 15:47    C:\Windows\system32\D3DCompiler_41.dll --------- 1846632 
 11.07.2010 15:47    C:\Windows\system32\d3dx10_41.dll --------- 453456 
 23.05.2010 11:15    C:\Windows\system32\WMVDECOD.DLL --------- 1619456 
 23.05.2010 11:11    C:\Windows\system32\mfreadwrite.dll --------- 196608 
 23.05.2010 11:11    C:\Windows\system32\mf.dll --------- 3181568 
 06.05.2010 17:35    C:\Windows\system32\MaxxVolumeSDAPO.dll --------- 252760 
 09.01.2010 07:52    C:\Windows\system32\cabview.dll --------- 132608 
 29.12.2009 07:55    C:\Windows\system32\wintrust.dll --------- 172032 
 04.12.2009 15:43    C:\Windows\system32\MaxxAudioAPO.dll --------- 132368 
 24.11.2009 09:55    C:\Windows\system32\SRSTSHD.dll --------- 185584 
 24.11.2009 09:55    C:\Windows\system32\SRSWOW.dll --------- 140528 
 24.11.2009 09:55    C:\Windows\system32\SRSHP360.dll --------- 173296 
 24.11.2009 09:55    C:\Windows\system32\SRSTSXT.dll --------- 345328 
 18.11.2009 18:42    C:\Windows\system32\WavesLib.dll --------- 1783056 
 18.11.2009 18:42    C:\Windows\system32\MaxxAudioEQ.dll --------- 1938704 
 17.11.2009 18:13    C:\Windows\system32\AERTARen.dll --------- 96160 
 14.07.2009 09:56    C:\Windows\system32\de-DE --------- 327680 
 14.07.2009 09:49    C:\Windows\system32\Recovery --------- 0 
 14.07.2009 09:47    C:\Windows\system32\winrm --------- 0 
 14.07.2009 09:47    C:\Windows\system32\migwiz --------- 4096 
 14.07.2009 09:47    C:\Windows\system32\oobe --------- 4096 
 14.07.2009 09:47    C:\Windows\system32\0407 --------- 0 
 14.07.2009 09:47    C:\Windows\system32\slmgr --------- 0 
 14.07.2009 09:47    C:\Windows\system32\WinBioPlugIns --------- 0 
 14.07.2009 09:47    C:\Windows\system32\Boot --------- 0 
 14.07.2009 09:47    C:\Windows\system32\XPSViewer --------- 0 
 14.07.2009 09:47    C:\Windows\system32\Setup --------- 4096 
 14.07.2009 09:47    C:\Windows\system32\migration --------- 4096 
 14.07.2009 09:47    C:\Windows\system32\Dism --------- 4096 
 14.07.2009 09:47    C:\Windows\system32\WCN --------- 0 
 14.07.2009 09:47    C:\Windows\system32\MUI --------- 0 
 14.07.2009 09:47    C:\Windows\system32\de --------- 0 
 14.07.2009 09:47    C:\Windows\system32\Printing_Admin_Scripts --------- 0 
 14.07.2009 09:47    C:\Windows\system32\com --------- 4096 
 14.07.2009 09:47    C:\Windows\system32\perfd007.dat --------- 38104 
 14.07.2009 09:47    C:\Windows\system32\perfi007.dat --------- 295922 
 14.07.2009 09:44    C:\Windows\system32\en-US --------- 4096 
 14.07.2009 05:56    C:\Windows\system32\umstartup.etl --------- 21504 
----------------------------------------

 
C:\Windows\Prefetch

----------------------------------------

 
C:\Windows\Tasks

 23.03.2011 15:04    C:\Windows\Tasks\SA.DAT --------- 6 
 14.07.2009 05:53    C:\Windows\Tasks\SCHEDLGU.TXT --------- 2392 
----------------------------------------

 
C:\Windows\Temp

----------------------------------------

 
C:\Users\KAMPFK~1\AppData\Local\Temp

 23.03.2011 17:07    C:\Users\KAMPFK~1\AppData\Local\Temp\MessengerCache --------- 4096 
 23.03.2011 17:07    C:\Users\KAMPFK~1\AppData\Local\Temp\TFR709D.tmp --------- 28670 
 23.03.2011 16:48    C:\Users\KAMPFK~1\AppData\Local\Temp\~DF942C6FEBA3ADC842.TMP --------- 32768 
 23.03.2011 16:48    C:\Users\KAMPFK~1\AppData\Local\Temp\~DF32BF047C9C03C53E.TMP --------- 24576 
 23.03.2011 16:48    C:\Users\KAMPFK~1\AppData\Local\Temp\StructuredQuery.log --------- 5499 
 23.03.2011 16:47    C:\Users\KAMPFK~1\AppData\Local\Temp\Low --------- 0 
 23.03.2011 16:47    C:\Users\KAMPFK~1\AppData\Local\Temp\~DFC72815EE17E2D6CD.TMP --------- 28672 
 23.03.2011 16:47    C:\Users\KAMPFK~1\AppData\Local\Temp\~DFA6751E94B1162AC1.TMP --------- 114688 
 23.03.2011 16:46    C:\Users\KAMPFK~1\AppData\Local\Temp\~DF6D2465D2A7176AF1.TMP --------- 32768 
 23.03.2011 16:46    C:\Users\KAMPFK~1\AppData\Local\Temp\~DFD9AD10C007912EBC.TMP --------- 512 
 23.03.2011 16:46    C:\Users\KAMPFK~1\AppData\Local\Temp\~DFEB151193B62685F7.TMP --------- 16384 
 23.03.2011 16:46    C:\Users\KAMPFK~1\AppData\Local\Temp\~DFD9F3005BF01036B3.TMP --------- 512 
 23.03.2011 16:46    C:\Users\KAMPFK~1\AppData\Local\Temp\~DF486E26073E51D6D9.TMP --------- 32768 
 23.03.2011 16:46    C:\Users\KAMPFK~1\AppData\Local\Temp\~DF817B3BF303E4678B.TMP --------- 512 
 23.03.2011 16:45    C:\Users\KAMPFK~1\AppData\Local\Temp\~DF712F9D2A15ABDB02.TMP --------- 16384 
 23.03.2011 16:43    C:\Users\KAMPFK~1\AppData\Local\Temp\msdt --------- 0 
 23.03.2011 16:42    C:\Users\KAMPFK~1\AppData\Local\Temp\WPDNSE --------- 0 
 22.03.2011 18:53    C:\Users\KAMPFK~1\AppData\Local\Temp\FXSAPIDebugLogFile.txt --------- 0 
----------------------------------------

 
C:\Program Files

 23.03.2011 14:44    C:\Program Files\CCleaner --------- 0 
 23.03.2011 14:37    C:\Program Files\Malwarebytes' Anti-Malware --------- 4096 
 22.03.2011 20:33    C:\Program Files\ERUNT --------- 4096 
 22.03.2011 19:38    C:\Program Files\ICQ7.4 --------- 12288 
 22.03.2011 19:31    C:\Program Files\ICQ6Toolbar --------- 4096 
 22.03.2011 19:31    C:\Program Files\InstallShield Installation Information --------- 4096 
 22.03.2011 19:25    C:\Program Files\Windows Live --------- 4096 
 22.03.2011 19:24    C:\Program Files\Microsoft Silverlight --------- 4096 
 22.03.2011 19:20    C:\Program Files\Common Files --------- 4096 
 22.03.2011 19:12    C:\Program Files\Temp --------- 0 
 22.03.2011 19:12    C:\Program Files\Realtek --------- 0 
 22.03.2011 18:54    C:\Program Files\avmwlanstick --------- 0 
 22.03.2011 18:52    C:\Program Files\Gemeinsame Dateien --------- 0 
 22.03.2011 18:52    C:\Program Files\Windows NT --------- 4096 
 14.07.2009 09:56    C:\Program Files\DVD Maker --------- 4096 
 14.07.2009 09:56    C:\Program Files\Windows Journal --------- 4096 
 14.07.2009 09:56    C:\Program Files\Microsoft Games --------- 4096 
 14.07.2009 09:47    C:\Program Files\Windows Mail --------- 4096 
 14.07.2009 09:47    C:\Program Files\Windows Sidebar --------- 4096 
 14.07.2009 09:47    C:\Program Files\Internet Explorer --------- 4096 
 14.07.2009 09:47    C:\Program Files\Windows Media Player --------- 4096 
 14.07.2009 09:47    C:\Program Files\Windows Photo Viewer --------- 4096 
 14.07.2009 09:47    C:\Program Files\Windows Defender --------- 4096 
 14.07.2009 05:53    C:\Program Files\Uninstall Information --------- 0 
 14.07.2009 05:52    C:\Program Files\Windows Portable Devices --------- 0 
 14.07.2009 05:52    C:\Program Files\Reference Assemblies --------- 0 
 14.07.2009 05:52    C:\Program Files\MSBuild --------- 0 
 14.07.2009 05:41    C:\Program Files\desktop.ini --------- 174 
----------------------------------------

 
C:\ProgramData\..

Kampfkeks   
Default   
Public   
Default User   
All Users   
desktop.ini   
----------------------------------------

 
C:\Windows\system32\drivers\etc\hosts


----------------------------------------

 

Abbildname                    PID Sitzungsname      Sitz.-Nr. Speichernutzung
========================= ======== ================ =========== ===============
System Idle Process              0 Services                  0            12 K
System                          4 Services                  0        4.784 K
smss.exe                      264 Services                  0          692 K
csrss.exe                      396 Services                  0        3.084 K
wininit.exe                    460 Services                  0        3.252 K
csrss.exe                      468 Console                    1        6.852 K
services.exe                  508 Services                  0        6.820 K
lsass.exe                      532 Services                  0        8.940 K
lsm.exe                        540 Services                  0        2.840 K
winlogon.exe                  612 Console                    1        4.476 K
svchost.exe                    676 Services                  0        6.960 K
svchost.exe                    752 Services                  0        5.568 K
svchost.exe                    840 Services                  0        15.328 K
svchost.exe                    900 Services                  0        56.192 K
svchost.exe                    940 Services                  0        29.448 K
svchost.exe                  1084 Services                  0        12.712 K
svchost.exe                  1168 Services                  0        12.004 K
spoolsv.exe                  1408 Services                  0        8.360 K
svchost.exe                  1444 Services                  0        10.952 K
ICQ Service.exe              1560 Services                  0        5.080 K
WLIDSVC.EXE                  1636 Services                  0        8.168 K
WLIDSVCM.EXE                  1732 Services                  0        2.064 K
svchost.exe                    292 Services                  0        4.164 K
svchost.exe                  2004 Services                  0        11.996 K
sppsvc.exe                    1480 Services                  0        5.872 K
svchost.exe                  1224 Services                  0        33.128 K
wmpnetwk.exe                  1508 Services                  0        8.212 K
SearchIndexer.exe            1720 Services                  0        19.096 K
taskhost.exe                  568 Console                    1        5.232 K
dwm.exe                      3580 Console                    1        24.252 K
explorer.exe                  2216 Console                    1        50.612 K
FRITZWLanMini.exe            1764 Console                    1        4.860 K
RtHDVCpl.exe                  964 Console                    1        7.948 K
msnmsgr.exe                  2636 Console                    1      100.520 K
ICQ.exe                      2640 Console                    1        72.324 K
svchost.exe                  3212 Services                  0        10.152 K
wlcomm.exe                    724 Console                    1        20.692 K
iexplore.exe                  2428 Console                    1        33.700 K
iexplore.exe                  1372 Console                    1        56.480 K
FlashUtil10o_ActiveX.exe      1220 Console                    1        4.268 K
dllhost.exe                  2164 Services                  0        4.456 K
iexplore.exe                  1100 Console                    1        50.668 K
HiJackThis204.exe            2312 Console                    1        13.312 K
notepad.exe                  1284 Console                    1        5.284 K
iexplore.exe                  3736 Console                    1        44.064 K
audiodg.exe                  2648 Services                  0        13.632 K
cmd.exe                      3996 Console                    1        2.984 K
conhost.exe                    180 Console                    1        4.392 K
SearchProtocolHost.exe        1044 Services                  0        6.112 K
SearchFilterHost.exe          3712 Services                  0        4.112 K
dllhost.exe                  1028 Console                    1        3.824 K
tasklist.exe                  2624 Console                    1        3.944 K
WmiPrvSE.exe                  2592 Services                  0        4.652 K

 
***** Ende des Scans 23.03.2011 um 17:10:50,39 ***

Hijackthis scheint soweit Clean zu sein, nach den Schritten das erste mal!

Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:17:18, on 23.03.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\avmwlanstick\FRITZWLanMini.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Users\Kampfkeks\Downloads\HiJackThis204.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.4\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files\ICQ7.4\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files\ICQ7.4\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe

--
End of file - 3330 bytes

Diese FlashUtil10o_ActiveX.exe ist weg! Was ja nun einen eindeutigen Trojanerangriff war oder? Selbst nach der Neuinstallation kam eine Installationsanfrage dazu! Wie ist sowas möglich?
Hat es da jemand speziell auf mich abgesehen?

kira 24.03.2011 06:16
1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählenHäckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
2.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

** Wie ist den aktuellen Zustand des Rechners? Auffälligkeiten, Probleme?

SilentOne 24.03.2011 15:12
Habe die zwei Prozesse gestoppt:
Code:
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
Gehören aber zu Win7, weshalb ist es besser die zu fixen?

Dieser komische
C:\Windows\system32\Macromed\Flash\FlashUtil10o_ActiveX.exe
Prozess ist immernoch da. Hijackthis kennt diesesn Prozess nicht und google meint diese Datei hat normalerweise einen anderen Namen google/FlashUtil10o_ActiveX.exe

Der Virenscan hat nichts ergeben und der PC ist zur Zeit nicht auffällig.

kira 25.03.2011 13:53
klar ist legitim, aber diverse weitere Probleme hervorrufen kann. Solange Du mit Deinem Rechner zufrieden bist, gibnt es eigentlich keine Grund zu fixen

Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählenHäckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
ActiveX Komponente - bei Bedarf wird erneut installiert, ansonsten sind nur Risikofaktoren:-> Warum ist Active X gefährlich?


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:26 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129