Forum
Tipps
News
Menu-Icon

diverse Schädlinge. pub bprotector, cmd.exe etc.was nun?

Hallöchen,
ich versuche seit 3 Tagen Schädlinge zu bekämpfen.
Google hat mir mehrfach den Hinweis auf ungewöhnlichen Datenverkehr gegeben. Deshalb mit malwarebytes gescannt und bereits im Quickscan
den pub bprotector gefunden :'(
den habe ich mit adwcleaner entfernt (hoffe ich doch?)
Dann habe ich mehrere Tiefenscans durchgeführt auch mit spybot. Der hat rund 140 Bedrohungen gefunden. Z.T. auch einfache (cookies) sowie Bilder, die eigentlich keine Bedrohungen darstellen können.
Und weil ich mich nicht so super auskenne, habe ich nur ein paar sachen gelöscht, von denen ich weiß, dass ich sie nicht benötige. Z.B. eine exe von einem Spiel, welches sich in einem backup auf einer anderen Partition befunden hat (hier: G genannt)
Desweiteren befindet sich dort auch eine windows32 cmd.exe, die bei malwarebytes als Schädling angezeigt wird. Die habe ich nicht gelöscht, weil ich nicht weiß, ob die wichtig ist.


Doch nun zum Logfile von eben.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:38:27, on 22.01.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe
C:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Tools\Acronis\True Image 10\TrueImageMonitor.exe
C:\Programme\Tools\Acronis\True Image 10\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AVAST Software\Avast\avastUI.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Spybot - Search & Destroy 2\SDTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Tools\Acronis\True Image 10\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Tools\Acronis\True Image 10\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast] "C:\Programme\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spybot - Search & Destroy 2\SDTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: HP Smart Web Printing ein- oder ausblenden - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programme\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe
O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe
O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Programme\Spybot - Search & Destroy 2\SDWSCSvc.exe

--
End of file - 8873 bytes

Achja: Betriebssystem derzeit noch windows xp sp3

Ich hoffe, dass mir jemand helfen kann, aber bitte mit rechter Hand am linken Ohr, bin nämlich nicht so versiert und kenne alle Begriffe und Anwendungnen :-[

Wenn weitere Informationen benötigt werden bitte Bescheid geben.
Vielen Dank schonmal :)
LG



Antworten zu diverse Schädlinge. pub bprotector, cmd.exe etc.was nun?:

nutze erstmal dein MalwareBytes ...
UPDATE machen & Vollscan
LOG hier zeigen .

ok. dauert bestimmt 40 min. bis dann :)

Mal zur Info: Quickscan von Malwarebytes reicht völlig um das System zu checken  ::)

(ich unterlag vor ein paar Monaten auch dem Irrglauben  :-[, man müsse unbedingt einen Vollscan machen, aber genau der ist bei MBAM nicht nötig)

nun ja, hat doch länger gedauert als gedacht.
Ergebnis:

Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.22.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: ***-PC [Administrator]

Schutz: Aktiviert

22.01.2013 15:31:49
MBAM-log-2013-01-22 (17-00-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 565700
Laufzeit: 1 Stunde(n), 26 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
G:\Backup\alter Computer 2012\C alter Pc\WINDOWS\system32\cmdow.exe (PUP.Tool) -> Keine Aktion durchgeführt.

(Ende)


Man muss dazu sagen, dass mich das Ergebnis des spybot wesentlich mehr irritiert hat. Da war Java auch als Bedrohung zu sehen und eine Babylon-toolbar. Üblicherweise mache ich die Häkchen bei toolbars raus, weil ich sowas nicht will.

bei dem o.g. Backup handelt es sich um eine Datensicherung vom alten Rechner. Die Daten wurden per usb-data-link rübergezogen.

Und was eben auch seltsam ist, dass obwohl ich diesen Trojaner entfernt habe, google immer noch mit mir meckert.

nunja, mal sehen, was die Profis hier sagen :)

Daten ,die dir bekannt sind , kannst Du in AV-Programmen & MBAM als Ausnahme zulassen ...

Normalerweise sollte man jetzt die Daten sichern & neu aufsetzen ....

öhm, neu aufsetzen bedeutet was? ;D

und was hat google trotzdem noch zu meckern?

 :-\

@Joanne, Neuaufsetzen bedeutet soviel wie Komplettlöschung der Festplatte deines Rechner und erneute Installation von Windows.

Was das bedeutet kann man sich wohl auch als Laie ausmalen.

Sämtliche jetzt von dir installierten Programme und sämtliche Einstellungen sowie zB in den Win7-Bibliotheken oder von WinXP in Eigene Dateien gespeicherten Dokumente/Musik/Bilder sind dann weg und müssten VORHER gesichert werden.

Wenn du das (noch) nicht willst, dann bist du bei Computerhilfen schlicht und ergreifend im falschen Forum. Bereinigen kann man zB bei trojaner-board.de  ;)

na das sind ja schöne Aussichten. ich habe nämlich keinen Plan, wie man ein Betriebssystem neu installiert.
Ich habe allerdings hier noch ein unbenutztes Win7 auf dem Rechner. Das habe ich eben mit essentials geprüft und das ist blitzblank sauber, weil unbenutzt.
Ich werde nun Stück für Stück meinen Kram von XP sichern und einfach nur noch win7 benutzen. Ich hoffe, dass ich damit keinen Fehler mache.
Dort installiere ich dann nur das Nötigste wie word etc. und gut ist.
Bei xp habe ich außerdem noch ein sauberes image. Ginge das auch?
Hat jemand für mich gemacht, als der Rechner noch neu war.

Ich danke Euch ganz herzlich für die Hilfe :)
LG
Jo

Wann und wie kam das Win7 denn da rauf? Vermutlich als Dualboot-Geschichte, d.h. du machst den Rechner an und musst bzw. kannst dann auswählen ob Win7 oder WinXP gestartet werden soll,richtig?  ;)

Bei xp habe ich außerdem noch ein sauberes image. Ginge das auch?
Hat jemand für mich gemacht, als der Rechner noch neu war.

DAS könnte helfen ....

Aber.....
Win7 endlich zu nutzen ist auch nicht schlecht ...

Natürlich hilft das XP-Image, würde ich aber von abraten in dieser Konfig! Schließlich ist Win7 installiert und wenn das XP-Image zurückgespielt wird ist die Win7-Installation platt/weg/im Nirvana!

Dann lieber Daten von XP nach 7 und irgendwann XP mal komplett löschen

ja genau: dual, weil ich noch ein wenig mit win7 abwarten wollte. 8)

und wenn image, dann natürlich dort wo bereits xp ist.
win7 will ich mir schließlich nicht vergurken  :D
(don't panic, ich mache das eh nicht alleine)

ich habe übrigens ein weiteres Mal den adwCleaner rüberlaufen lassen und er hat eine weitere komponente vom schädling gefunden(irgendein key in der registry). den habe ich nun auch eliminiert. jetzt klappt es auch mit google wieder :)

Nach 4 Tagen scannerei habe ich die schnauze voll. Momentan läuft alles stabil. nach dem motto never change a running system, lass ich mal das ganze ein paar tage ruhen
und mache es mir bald bei win7 gemütlich.

Danke für die Hilfe! Man lernt bekanntlich nie aus ;)

bis zum nächsten Mal
*wink*
 :)

 

Zitat
und wenn image, dann natürlich dort wo bereits xp ist.

Bei Dualbootsystemen kannst du dir den Bootloader zerkloppen. Heißt, ich befürchte wenn du das XP-Image wiederherstellst, kannst du dann auch nur noch XP ohne weitere Eingriffe starten, obwohl Win7 ja noch da wäre.

Jedenfalls wünsch ich dir viel Erfolg mit Win7 

boah, super, dass ich dazu noch nicht gekommen bin. sonst hätte ich da glatt was kaputt gemacht. ???

Hier hat sich inzwischen nämlich ein weiteres Problem ergeben. ich bin auf der Suche nach Dateien eines bestimmten datums. sie sind alle weg. :o
kann das mit diesem virus zu tun haben oder muss ich nun auch noch auf die suche nach einem spionage-programm gehen?
wie macht man das?

außerdem: wie finde ich die daten wieder, wenn sie jemand via Internet gelöscht hat?
ich bin schon völlig fertig, ich brauche diese daten unbedingt :-\

dir kann jemand über das Inet Daten löschen..welche?
http://www.dnstools.ch/port-scanner.html
was sagt dieser?
einen Rat:
zwei Betriebssysteme = 2 Festplatten und in deinem Falle die Bootauswahl über Windows 7

hallo, erstmal danke für den link. :) die ports sind nach dem scan zur zeit alle geschlossen.
hier hängen 2 rechner ohne netzwerk an einem router per kabel. für ein smartphone habe ich einen wlan-zugang geöffnet mit entsprechendem schutz.
auf dem 2. rechner gibt es noch einen spieleserver, der auch ab und zu benutzt wird. dann steht auch ein türchen offen, allerdings nicht zu meinem rechner (hoffe ich).

es sind alle dateien gelöscht, die an einem einzigen tag gespeichert, verändert oder runtergeladen wurden sind. welche im einzelnen das sind weiß ich nicht mehr. es sieht so aus, als habe es den tag im kalender nicht gegeben. (ich hatte eine suche von drei aufeinander folgenden tagen mit leerem Feld gemacht über alle partitionen.der 1. tag hat dateien und der 3 auch. nur dieser eine 2. tag, an dem ich ganz sicher am rechner gesessen und was gemacht habe, fehlt. Und genau von diesem Datum benötige ich irgendeinen Hinweis auf eine tätigkeit am computer.
Für mich deshalb so ominös, weil zum einen einbrüche in den mail-account stattgefunden haben, dann der virus auf dem rechner und nun die verschollenen daten, die ich als nachweis vor gericht benötige. da kommt man dann schon ins stutzen.

ja das ist schlecht
versuche es mal hiermit
http://www.linuxonadisk.net/linux-zur-datenrettung


« wie deinstalliere ich snap do?Trojaner löschen »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Google
Google ist Marktführer unter den Suchmaschinen weltweit. Geführt von dem amerikanischen Unternehmen Google Inc. werden neben der Suchmaschine auch viele weitere...

Google Doodle
Als "Doodle" werden die kleinen Grafiken bezeichnet, die die Google Suchmaschine an bestimmten Tagen statt dem eigentlichen Google Logo auf der Webseite anzeigt: Damit wi...

Graustufenbilder
Als Graustufenbilder bezeichnet man digitale Bilddateien. Graustufenbilder werden auch Halbtonbilder beziehungsweise 8-Bit-Bilder genannt. In Graustufenbilder muss ein Pi...