Windows XP: Bitte mal nach diesem logfile schauen (milkie)

milkie
Gast

« am: 15.01.10, 15:23:40 »

Hallo, ich weiß, es ist viel, aber könnte mir jemand sagen, was ich tun kann?
also ich hab jetzt gleich nach hochfahren einen scan mit antivir gemacht... der findet einen backdoorviruz und einen trojaner, aber antivir tut irgendwie nichts dagegen. Was kann ich machen? Ist Kaspersky besser?
Vielen Dank für die Mühe!
Patricia

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:55, on 14.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ThreatFire\TFTray.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\mmrtkrnl.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PostgreSQL\8.3\bin\postgres.exe
C:\Programme\PostgreSQL\8.3\bin\postgres.exe
C:\Programme\PostgreSQL\8.3\bin\postgres.exe
C:\Programme\PostgreSQL\8.3\bin\postgres.exe
C:\Programme\PostgreSQL\8.3\bin\postgres.exe
C:\Programme\PostgreSQL\8.3\bin\postgres.exe
C:\Programme\ThreatFire\TFService.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.3.3.2.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] 'C:\Programme\Avira\AntiVir Desktop\avgnt.exe' /min
O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [StartCCC] 'C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe' MSRun
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [Realtime Audio Engine] 'mmrtkrnl.exe' /i
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] 'C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe'
O4 - HKLM\..\Run: [SunJavaUpdateSched] 'C:\Programme\Java\jre6\bin\jusched.exe'
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] 'C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe'
O4 - HKLM\..\Run: [Adobe ARM] 'C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe'
O4 - HKCU\..\Run: [msnmsgr] 'C:\Programme\Windows Live\Messenger\msnmsgr.exe' /background
O4 - HKCU\..\Run: [Steam] D:\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] 'C:\Programme\DAEMON Tools Lite\daemon.exe' -autorun
O4 - HKCU\..\Run: [MSMSGS] 'C:\Programme\Messenger\msmsgs.exe' /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1292428093-2111687655-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Filme mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.3.3.2.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242610206234
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe

Mein Computer-System:

Mein PC ist etwa 0-2 Jahre alt.

Auftretende Fehlermeldung:

Ich erhalte eine Fehlermeldung beim Starten eines Programmes. (antivir)
Die Fehlermeldung lautet: backdoorvirus und trojaner gefunden

Moderator informieren

copy
Gast

Re: Windows XP: Bitte mal nach diesem logfile schauen

« Antwort #1 am: 15.01.10, 15:32:01 »

IE6 das ist schlecht sollte IE8 sein!
http://www.computerhilfen.de/info/malwarebytes-anleitung.html
alle Funde löschen/Report posten.

Moderator informieren

milkie
Gast

Re: Windows XP: Bitte mal nach diesem logfile schauen

« Antwort #2 am: 15.01.10, 16:10:16 »

danke schonmal melde mich

Moderator informieren

Burgeule
Gast

Re: Windows XP: Bitte mal nach diesem logfile schauen

« Antwort #3 am: 15.01.10, 18:46:21 »

Dein log sieht auf den ersten Blick, bis auf den überladenen Autostart und den IE6 OK aus.
Wie heist den der ( der findet einen backdoorviruz und einen trojaner,)

Ansonsten arbeite ab was copy vorgeschlagen hat.

Burgeule

Moderator informieren

milkie
Gast

Re: Windows XP: Bitte mal nach diesem logfile schauen

« Antwort #4 am: 16.01.10, 00:11:09 »

Das hier ist das Ergebnis von Antivir. Ich benutze übrigens Firefox und keinen IE, daher die alte Version.
Vielen Dank für die Mühe! Muß ich mir jetzt noch Sorgen machen, oder ist es soweit ok mit dem Ergebnis?

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{AE907662-802E-4F50-AA2B-455CB32D00C7}\RP263\A0058063.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Poison.awem
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b806575.qua' verschoben!
C:\System Volume Information\_restore{AE907662-802E-4F50-AA2B-455CB32D00C7}\RP263\A0058064.exe

[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fccc126.qua' verschoben!
D:\System Volume Information\_restore{AE907662-802E-4F50-AA2B-455CB32D00C7}\RP263\A0058065.exe

[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fced696.qua' verschoben!

Moderator informieren

megagonzo (524)

7x Beste Antwort

1x "Danke"

Re: Windows XP: Bitte mal nach diesem logfile schauen

« Antwort #5 am: 16.01.10, 11:15:52 »

Hat dir diese Antwort geholfen?

Auch wenn du den IE nicht benutzt ist er doch Teil des Systems und sollte aktuell sein!

Dein Autostart ist zugemüllt, bis auf Avira und ThreatFire alles raus. SpyBot deinstallieren.

Wozu DaemonTools? In Verbindung mit BitComet riecht das schon verdammt nach illegalem saugen - da ist es kein Wunder wenn du dir über "C" "r" "a" "c" "k" "s" und Keygens Malware in die Hütte holst.

Und etwas ganz essentielles, nämlich ein eingeschränktes Benutzerkonto nutzt du wahrscheinlich auch nicht?

WO wurden die Dateien gefunden?

« Letzte Änderung: 16.01.10, 12:04:27 von megagonzo »

Moderator informieren

mielkie
Gast

Re: Windows XP: Bitte mal nach diesem logfile schauen

« Antwort #6 am: 16.01.10, 11:27:05 »

Hallo,
Dann werde ich den IE mal aktualisieren, wobei ich heute gelesen habe, der hätte auch Sicherheitslücken...
Ganz löschen kann man ihn wohl nicht?
Ich lade ehrlichgesagt nichts runter...aber habe den PC auch noch nicht lange.
Ich versuche jetzt erstmal den Autostart aufzuräumen und das mit dem Benutzerkonto einzustellen, aber wollt eigentlich sowiso Windows7 installieren (naja wird ein neues Thema werden )
Danke jedenfalls soweit schonmal!
Patricia

WO wurden die Dateien gefunden?

Ich gucke...

Moderator informieren

mielkie
Gast

Re: Windows XP: Bitte mal nach diesem logfile schauen

« Antwort #7 am: 16.01.10, 18:25:17 »

Also der Virus scheint weg zu sein...jedenfalls findet Antivir jetzt nichts mehr.
Danke für Eure Hilfe!

Moderator informieren

Windows XP: Bitte mal nach diesem logfile schauen

Antworten zu Windows XP: Bitte mal nach diesem logfile schauen:

Re: Windows XP: Bitte mal nach diesem logfile schauen

Mehr zu Windows XP: Bitte mal nach diesem logfile schauen

« Win XP: Was kann ich löschen?		virus problem mit wmisfhl.exe »