Trojaner-Funde - BITTE UM HILFE, Win32:Trojan-gen. {Other} Einstellungen

[Estarina]

Hallo,

ich lasse wöchentlich einen gesamten Fesplattenscan durchlaufen mit G-DATA-Antivirenkit 2007, heute plötzlich folgende Meldung:

Objekt: html\decChangeAppearanceOfBarsBoxesLinkLines.htm
In Archiv: C:\Programme\Microsoft Office\Office10\1031\PJMN10P.CHM
Status: Virus gefunden
Virus: Win32:Trojan-gen. {Other} (Engine B)
Objekt: PJMN10P.CHM
Pfad: C:\Programme\Microsoft Office\Office10\1031
Status: Virus gefunden
Virus: Win32:Trojan-gen. {Other} (Engine B)


Versuche ich diese beiden Datein zu desinfizieren oder sonst ins Quarantäne zu verschieben, dann erscheint folgende Meldung:

Wenn Sie ein Archiv oder Postfach in die Quarantäne verschieben, sind auch nicht infizierte Teile nicht mehr verfügbar. Beispielsweise kann es sein, dass alle gespeicherten Mails verloren gehen.


Was würdet Ihr mir bzgl. weiterer Vorgehensweise empfehlen?
Soll ich versuchen dieses Archiv durch eine Datensicherung mit Ghost zurückzuholen?

Wie und wo kann ich mir diesen Trojaner eingefangen haben?

Weshalb wird er nur von der Engine B (Avast) und nicht von Engine A (Kaspersky) erkannt)


Mit besten Grüßen
Eure Estarina

[fjg]

Hallo Estarina,
der erste Fehler scheint das Microsoft Project 2002 Service Pack 1 zu betreffen und der zweite Fehler hat dann etwas mit einem outlook ad-in zu tun!
Du könntest die Dateien ja mal bei virus-total oder jotti hochladen.
Ich schau mal ob ich eine Meldung über Fehlalarme finde!
uebrigens scheint es ein über die Heuristik gefundener Trojaner zu sein! Lass sie also mal in der Quarantäne (noch nicht löschen)!
MfG
Franz

Der Beitrag wurde von fjg bearbeitet: 31.03.2007, 13:23

[fjg]

Ich habe noch was vergessen:
vor dem Verschieben solltest du deine daten bzW. e- mails ausserhalb von outlook etc. sichern und nach dem verschieben der (angeblich) "Infiszierten Dateien" in die Quarantäne kannst du ja schauen ob noch alles funktioniert.
Dateien in Quarantäne sollten ja eigentlich ohne Probleme wiederherstellbar sein!
Die Erkennung könnte an einem Update an der Heuristik der Avast Engine liegen ev. wurde sie "agresiver" eingestellt! (War leider kürzlich bei Avira auch so wurde aber 2h später behoben!)
Falls es tatsächlich Maleware sein sollte kann ich dir auch nicht sagen woher sie ursprünglich kam; sollte es jedoch ein Fehlalarm sein, kann es an Updates von G-Data oder Microsoft liegen!

Zum Schluss: ich habe leider nichts Konkretes mehr gefunden, um sicher zu sein solltest du sonst mal den Suport von G-Data kontaktieren!!

Sorry ich kann dir leider auch nicht weiterhelfen!

MfG
Franz

Schau ob es etwa in 2-4h ein Update gibt und scanne nochmal deine Festplatte vieleicht ist der ev. Fehlalarm dann weg!

Der Beitrag wurde von fjg bearbeitet: 31.03.2007, 13:20

[Estarina]

Hallo Franz,

erst einmal recht vielen Dank für Deine Mühe.


Anbei mal noch ein aktueller Hijack This - ist daraus was abzulesen, ob evtl. der Trojaner schon mehr angerichtet hat?


Logfile of HijackThis v1.99.1
Scan saved at 14:21:08, on 31.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Ghost\Agent\GhostTray.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Dictionary4Free\FreeDict.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\Explorer.EXE
D:\Daten\PC und Internet\Einstellungen am PC\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.22.129:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [LingoMAXX-Wörterbuch] C:\Programme\Dictionary4Free\FreeDict.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: In &neuem Fenster öffnen - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://*.microsoft.de
O15 - Trusted Zone: http://*.microsoft.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1134381426468
O17 - HKLM\System\CCS\Services\Tcpip\..\{74498A80-21AB-42EE-82F9-1130D5D86BDD}: NameServer = 154.15.251.130,194.25.2.129
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

[fjg]

Hi Estarina,

ich muss erstmal zugeben, dass ich mich mit "HijackThis" nicht so auskenne.
Ich kann jetz aber nichts so spezielles bzW. ungewöhnliches erkennen!

MfG
Franz

Der Beitrag wurde von fjg bearbeitet: 31.03.2007, 13:46

[Gast_rock_*]

ich muss erstmal zugeben, dass ich mich mit "HijackThis" nicht so auskenne.

hab mirs auch net angeschaut ... weil es heir die auto auswertung gibt....
http://www.hijackthis.de/

dann lässt sich drüber "streiten"....

wobei das irgendwie eh nach FEHLER aussieht:
Pfad: C:\Programme\Microsoft Office\Office10\1031
Status: Virus gefunden
Virus: Win32:Trojan-gen. {Other} (Engine B)




Der Beitrag wurde von rock bearbeitet: 31.03.2007, 13:58

[fjg]

Hi Rock,
danke für den guten Link !
MfG
Franz

@Estarina
ich nehme mal an das DU folgende Programme installiert hast:
-pdfSaver3
-FreeDict (LingoMAXX-Wörterbuch)
die beiden sind noch nicht bekannt, das andere ist nicht gefährlich!

@Rock danke nochmals für den Link!


MfG
Franz

[Estarina]

Hallo Rock,

1. Danke für den Link.

2. meinst Du also, dass es sich um einen Fehlalarm handelt?


Hallo Franz,

ja diese 3 Programme wurden von mir wissentlich und erwünschterweise installiert.


Danke Euch beiden.
Eure Estarina

[fjg]

Also würde ich mal mit einem FP (Falschmeldung) rechnen.
G-Data hat sicher eine Funktion zum einsenden der Dateien, versuch das mal.

[Gast_rock_*]

@ estarina,

ja du kannst von einem fehlalarm ausgehen.

"1031" ist ein Ms Office Ordner! und kein programm oder eine andere schadhafte anwendung!

[fjg]

Guten Morgen Rock,
ja du hast recht, ich denke auch das es ein Fehlalarm ist,
aber G-Data hat ja auch nicht gesagt das der Ordner eine Maleware ist sondern das er sich dort brfindet (wenn ich das richtig verstanden habe)!


Guten Morgen Estarina,
ich habe noch eine Frage:
Hast du irgenwann eine ev. "unbekannte" Toolbar installiert?
Ich habe mir nach der obenstehenden Bemerkung deinen Fehler nochmals angeschaut und es scheint eine Toolbar zu sein die irgendwelche einstellungen ändern kann. Dies kann aber zB. auch mit deinem Wörterbuch oder demPDF-Saver zusammenhängen, falls sie sich ins Office oder dem IE integrieren!

MfG
Franz

Der Beitrag wurde von fjg bearbeitet: 01.04.2007, 10:00

[Gast_rock_*]

dann müsste der pfad vielleicht anders heissen??

Pfad: C:\Programme\Microsoft Office\Office10\1031 ... und weiter?

zur sicherheit kann der user ja den inhalt erauskopieren...bis auf bild und txt dateien... und dann in einen komprimierten ordner packen und den onlinechecken!

aber ich erinner mich düster das es in office schon wo anders auch irrtümlich geklingelt hat. bitdefender glaub ich.

[Stefan]

Moin @rock!

Das steht doch im allerersten Posting:

Objekt: html\decChangeAppearanceOfBarsBoxesLinkLines.htm
In Archiv: C:\Programme\Microsoft Office\Office10\1031\PJMN10P.CHM

Ich würde die Hilfedatei "PJMN10P.CHM" ja zur Sicherheit mal bei Jottis und (oder) Virustotal durchlaufen lassen, damit @Estarina Gewissheit hat, ob es sich um einen Fehlalarm handelt.

Der Beitrag wurde von Stefan bearbeitet: 01.04.2007, 10:06

[fjg]

Hi zusammen,
kleine Anmerkung:
ich habe mein letztes Posting vom Heute, 10:40 abgeändert!

[Gast_rock_*]

Pjmn10p.chm ist vom servicepack1 ms update ...

habs aber trotzdem übersehen...

[hypnosekroete]

Moin Allemann!
Ich persönlich denke, das es sich um einen FP handelt. Die angemeckerte Datei scheint eine Hilfedatei (Compiled HTML) zu sein, dh dürfte das verschieben in Quarantäne keine Katastrophe anrichten.

Die Avast-Engine ist gerade beim On-Demand-Scannen meiner Erfahrung nach recht anfällig für Fehlalarme, gerade (laufzeit-)gepackte Dateien und Scripte werden da schnell mal angemeckert.

Wie oben schon angedeutet: Virustotal bzw. Jotti könnten hier ganz gut die Richtung anzeigen, in die die Reise geht...

Zum Einsenden bei GDATA über die ins AVK integrierte Funktion: Kannste Vergessen, da wird nicht reagiert (War bei mir zumindest 2x so), schick das File an newvirus(ät)kaspersky.com, da wird Dir schnell geholfen, vielleicht noch bei Avast als FP-Verdacht einsenden: virus(ät)asw.cz

Quack!

[Estarina]

Vielen herzlichen Dank für Eure Hinweise.

Habe bei Virustotal die Datei mal checken lassen und hier meckert einzigst und allein die AVAST engine - alle anderen Scanner finden nix.

In Quarantäne verschoben und an die AVK-Ambulanz gesandt, die schrieben sofort zurück (automatisch erstellt), dass sie mit einer der nächsten Signaturen das Desinfizieren ermöglichen.
Gestern eine Mail an G-DATA gesandt und heute früh Post erhalten:

"Sehr geehrter G DATA-Kunde

vielen Dank für Ihre Anfrage.

Bitte lassen Sie diese Datei von dem AntiVirenKit in die Quarantäne verschieben.

Ein Fehlalarm ist möglich, kann aber von unserer Seite zurzeit nicht bestätigt werden.

Die Verwendung von 2 Virenscanner-Engines bringt den Vorteil mit sich, dass die Erkennungsrate erhöht wird. Wenn beide Scanner exakt die gleichen Viren erkennen, würde dies nicht zu einer Erhöhung der Erkennungsrate führen.


Wir hoffen Ihnen mit diesen Angaben gedient zu haben."


Werde die Datei auch an Kaspersky und Avast direkt senden (vielen Dank für den Hinweis hypnosekroete)

@ Franz
Habe keine Toolbar installiert.
Arbeite fast ausschließlich mit FF.


Also - euch allen noch ein schönes Wochenende.

[Estarina]

Über Eingabe: netstat -a --> werden doch alle offenen Ports des TCP- und UDP-Protokolls aufgelistet.
Allerdings weiß ich nicht, was dort erscheinen darf und was evtl. ein Hinweis auf Tätigkeit des Trojaners sein könnte:

siehe Anhang

Angehängte Datei(en)

 Anzeige_der_offenen_Ports.doc ( 61KB ) Anzahl der Downloads: 18

 

[Estarina]

Heutiger Virenscann erzeugte folgende Meldungen:

Virenprüfung mit AntiVirenKit
Version 17.0.6254
Virensignaturen vom 15.04.2007
Job: Lokale Festplatten
Startzeit: 15.04.2007 12:31
Engine(s): Engine A (AVK 17.3992), Engine B (AVKB 17.199)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: PJMN10P.CHM\html\decChangeAppearanceOfBarsBoxesLinkLines.htm
In Archiv: C:\System Volume Information\_restore{C6BC282D-03CC-4BF8-87FA-B232F83DF1A5}\RP465\A0094546.exe
Status: Virus gefunden
Virus: Win32:Trojan-gen. {Other} (Engine B)
Objekt: A0094546.exe
Pfad: C:\System Volume Information\_restore{C6BC282D-03CC-4BF8-87FA-B232F83DF1A5}\RP465
Status: Virus gefunden
Virus: Win32:Trojan-gen. {Other} (Engine B)
Objekt: Toolbar.exe
In Archiv: C:\System Volume Information\_restore{C6BC282D-03CC-4BF8-87FA-B232F83DF1A5}\RP469\A0096017.exe
Status: Virus gefunden
Virus: not-a-virus:AdTool.Win32.MyWebSearch (Engine A)
Objekt: A0096017.exe
Pfad: C:\System Volume Information\_restore{C6BC282D-03CC-4BF8-87FA-B232F83DF1A5}\RP469
Status: Virus gefunden
Virus: not-a-virus:AdTool.Win32.MyWebSearch (Engine A)
Analyse vollständig durchgeführt: 15.04.2007 16:01
83238 Dateien überprüft
2 infizierte Dateien gefunden
0 verdächtige Dateien gefunden

Selbst wenn ich mir die geschützten Systemdateien nicht ausblende und somit System Volume sehe, kann ich nicht darauf zugreifen (Meldung: Auf C:\System Volume Information kann nicht zugegriffen werden. Zugriff verweigert).

Woher kommt dieser Trojaner bzw. Virus?

Den Trojaner hatte ich vor ca. 2 Wochen in einer Datei (PJMN10P.chm) - mehrfach an AVK Ambulanz geschickt - keine Rückmeldung erhalten, diret Avast hat sich bisher auch noch nicht dazu geäußert.

Virustotal - hat PJMN10P.chm gecheckt und einzigst Avast meldet auch hier diesen Trojaner - die anderen 31 Virenscanner finden nichts.

Der Virus muss in der Nero-Aktualisierung gewesen sein, ließ sich direkt bei der Installation aber desinfizieren - um so mehr wundert mich der heutige Scan.

BITTE HELFT MIR !!!!!

Eure Estarina

aktueller Logfile of HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 16:43:58, on 15.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Ghost\Agent\GhostTray.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Dictionary4Free\FreeDict.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
D:\Daten\PC und Internet\Einstellungen am PC\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.22.129:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [LingoMAXX-Wörterbuch] C:\Programme\Dictionary4Free\FreeDict.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: In &neuem Fenster öffnen - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://*.microsoft.de
O15 - Trusted Zone: http://*.microsoft.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1134381426468
O17 - HKLM\System\CCS\Services\Tcpip\..\{74498A80-21AB-42EE-82F9-1130D5D86BDD}: NameServer = 154.15.251.130,194.25.2.129
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

[hypnosekroete]

Ohne jetzt näher auf das HiJack Log geschaut zu haben (Geduld, bitte!):
Deaktiviere mal die Systemwiederherstellung <Anleitung> und lösche mal die temporären Dateien im abgesicherten Modus mit dem <ccleaner> z.b.

In den abgescicherten Modus kommst Du auch, wenn Du beim Booten F8 drückst, ist nicht so fummelig wie vom BSI beschrieben...

Danach nochmal scannen, HJT nur wenn noch was gefunden wird.

Der Beitrag wurde von hypnosekroete bearbeitet: 15.04.2007, 16:26