Forum
Tipps
News
Menu-Icon

HILFE!!! Trojaner HTML/RCe.Gen

Hallo alle zusammen, hier ist mal wieder ein neues Viren-Opfer  :-\
AntiVir hatte bei der Systemprüfung o. g. Virus angezeigt.
Also nichts wie los, Malewarbytes, Hijackthis.
Ich hab ja auch keine Ahnung von sowas, aber mir kommt's grad etwas komisch, dass der AntiVir meint, da wär was, aber Hijack nicht...!

Ich erbitte dringende Hilfe und Aufklärung!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:49:26, on 11.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CmUCReye.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.studivz.net/Start
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ish.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ish.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von UnityMedia
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O4 - Global Startup: Verknüpfung mit AnyDVD 5.7.1.1 Loader.lnk = C:\Programme\SlySoft\AnyDVD\AnyDVD 5.7.1.1 Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Dokumente und Einstellungen\Isabel\Eigene Dateien\Programme\poker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Dokumente und Einstellungen\Isabel\Eigene Dateien\Programme\poker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7007 bytes
 



Antworten zu HILFE!!! Trojaner HTML/RCe.Gen:

Hab mich vertan, bei Malewarebytes sah es so aus, als wär da nix...


Malwarebytes' Anti-Malware 1.20
Datenbank Version: 938
Windows 5.1.2600 Service Pack 3

17:44:17 11.07.2008
mbam-log-7-11-2008 (17-44-17).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 167376
Scan Dauer: 1 hour(s), 5 minute(s), 26 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
 

..wo befindet sich der Virus und wie heißt er.
kannst du das noch auslesen?
hast du nicht versucht erstmal mit Antivir den Virus zu löschen (vorher halt immer aufschreiben wie er heißt).
ein Trojaner scheint nicht drauf zu sein, wobei ich es nicht versichern würde.
bekommst du Fehlermeldungen beim Löschversuch?
grob zusammengefaßt, was hast du seit dieser Meldung schon alles getan oder nicht getan.
 

Die Meldung kam ja noch während der Systemprüfung. Hab mich dann auch nicht getraut irgendein Fenster von AntiVir zu zumachen und hab auch nicht versucht ihn zu löschen geschweige denn in Quarantäne zu verschieben.

Hab halt wie gesagt, direkt Malwarebytes drüberlaufen lassen und danach HijackThis und hab das dann alles hier gepostet.

Wie gesagt, ich versteh garnichts von dem was da drin steht und bevor ich irgendwas falsch mach, hab ich erstmal garnichts gemacht  ():-)

dachte halt, wenn ich den lösche, verschwindet er augenscheinlich, aber irgendwo ist er doch noch.

Die Systemprüfung war während den ganzen Scans angehalten und läuft momentan wieder. Bis jetzt hat er wohl 2 Funde..

Wie gesagt, absolut keine Ahnung

brech die Untersuchung ab und
..geh mal in den abgesicherten Modus (F8).
dort auf suchen *.temp, alle gefundenen löschen.
Im normal Modus Antivir deinstallieren/Plattenbereinigung/Antivir erneut installieren(online updaten!)/Defragmentation der Festplatte, dann erneute Systemprüfung durch Antivir.
erneute Meldungen versuchen zu löschen(vorher aufschreiben Pfad/Name) und wieder melden.  

« Letzte Änderung: 11.07.08, 18:40:57 von copy »

Was heißt denn genau Platte bereinigen?
Du meinst doch nur das Löschen von den Temp Dateien, oder?!

Könnte ich da theoretisch was falsch machen .oO(weiß ich ja nicht)

Einer von Euch könnte mal ein Buch schreiben:

PC > Frau

Frau > PC

;D

würde bestimmt reißenden Absatz finden!

..weiß zwar nicht so genau was du meinst, aber ok ;)
Step by Step
..mach einen Neustart mit Rechner, nach dem Abruch der Systemuntersuchung mit Antivir..
wenn er wieder startet drück F8 ruhig länger, nur wenn er piept hör sofort auf..
beim Auswahlmenü wählst du mit der Pfeiltaste hoch/runter den abesicherten Modus aus.
Bist du im abgesicherten Modus gelanden (das zeigt er dir deutlich an :D) gehst du dort auf start/suchen
und da auf Datein (auch versteckte anzeigen muß ein Häckchen haben).
gib ein *.temp und auf durchsuchen.
makier alle gefundene (hoffe du weißt wie das geht?) und lösche sie.
Danach fährst du wieder hoch und meldest dich.

ok!
weiter im text.

aber das mit dem markieren war schon etwas schwierig und das hab ich grad noch so hinbekommen. als ich nicht mehr weiter wußte, konnt ich mir nur mit Strg+A helfen.

Hoffe, das war richtig  ;)

strg+a=makieren
strg+c=Kopieren
strg+v=einfügen
 ;)

musst ja nicht gleich so auftrumpfen! wollt ja damit nur sagen/zeigen, dass ich schon der "normalen" sachen mächtig bin  :P

Aber ok, du hast gewonnen  :'( gestehe meine niederlage ein
 ;D

zurück zum thema:

was mach ich jetzt?

antivir runter - dann wieder drauf und.....?

Das system ist nicht mehr vertrauenswürdig.Jegliches weiteres herumdoktorn ist sinnfrei.System neu instalieren,bei bedarf hier nach guten hinweisen fragen.Von PFW grundsätzlich die finger lassen.Auch OE und IE sind beliebte einfallstore für schädlinge.

Und das ganze nochmal auf Deutsch?!

Verstehe gerade nur Bahnhof

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hat mir auch grad geholfen:

1. abgesicherter Modus, dort alle "temp" Dateien löschen
2. wieder normal starten
3. AntiVir deinstallieren
4. Platte bereinigen
5. AntiVir wieder aufspielen und alles aktuallisieren
6. Platte defragmentieren

Schau auch mal hier:

http://www.computerhilfen.de/hilfen-17-241414-0.html

An dieser Stelle nochmals vielen Dank an "copy"

Eigentlich sollte das kein Kampf sein,sondern nur eine Art "Belehrung". ??? Wäre auch unfair :
Mann gegen Frau oder
Frau gegen Mann.
(nicht persönlich nehmen)
OE=Outlook Express.
IE=Internet Explorer = Browser(zum surfen)
glaube PFW´s sind Personal Firewalls  ???
 

Zitat
bei bedarf hier nach guten hinweisen frage
Mit anderen Worten:
Wenn du Hilfe brauchst,wir sind für dich da.
Hoffe ich konnte dir zumindest etwas erklären. ;)

Ach Quatsch, war doch nur Spaß!!!!! Darfst du auch nicht persönlich nehmen!

Aber auf jeden Fall vielen vielen Dank für die Hilfe!
Hab mich sehr aufgehoben gefühlt und dass das auch alles so schnell ging war toll!
konnte auch wieder was lernen und hoffe eigentlich für mich, dass ich hier erstmal nicht mehr nach irgendetwas fragen muss und mein rechner brav und sauber bleibt!

aber fall's nicht, weiß ich an wen ich mich wenden muss!

danke nochmal und einen schönen abend an alle!

@ Lunaris
..hast du das was ich dir gesagt habe auch gemacht?!
..im normal Modus den Antivir deinstalliert?
ansonsten bin ich hier gerne rauß.

Hab ich irgendwas falsches gesagt? Wenn ich dich geärgert habe tut es mir leid!

habe aber alles befolgt:
-im sicheren modus temp-dateien gelöscht
-neustart
-antivir deinstalliert
-neues antivir wieder drauf

konnte mich bis jetzt nur noch nicht mit dem "platte bereinigen" befassen..
reicht da die defragmentierung oder meintest du was anderes?

..nein rechts Klick auf Arbeitsplatz/c dann bei den Eigenschaften auf bereinigen.

..dann erst einen Neustart und dann die Defregmantation der Platte.
..sorry mite be to late!

Guten Morgen!

Hab schon geschlafen als du geantwortet hast.

Und weil`s natürlich immernoch so ist, dass ich keine Ahnung habe  :-[ direkt mal die nächste Frage:

wenn ich auf bereinigen gehe, lösche ich irgendwelche dateien oder komprimiert das sozusagen nur die platte?
also kurz gefasst: was passiert da?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Guten Morgen!

Hab schon geschlafen als du geantwortet hast.

Und weil`s natürlich immernoch so ist, dass ich keine Ahnung habe  :-[ direkt mal die nächste Frage:

wenn ich auf bereinigen gehe, lösche ich irgendwelche dateien oder komprimiert das sozusagen nur die platte?
also kurz gefasst: was passiert da?

Es wird nur deine Festplatte aufgeräumt. Deine persönlichen Dinge werden dabei nicht gelöscht.

« Probe eines TrojanerWindows Vista: trojaner! programm gelöscht,Neu Installieren von DVD geht nicht »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Virus
Als Computervirus bezeichnet man Programme, die sich ungewollt auf einem PC installieren und dan selbst weiterverbreiten und reproduzieren. Sie sind meistens darauf progr...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...