Kann jemand die Datei mal prüfen bzw. ist das Malware?, Proxy Einstellung geändert - Kann ich den einfach löschen Einstellungen

[jd_cort]

Hallo,

mein Bruder rief mich gerade (XP Pro.) an - Firefox läuft nicht, Verbindung am Proxy zurück gewiesen. Rechner hängt am Router (Password gesichert), mein Bruder surft als eingeschränkter User.

Ich habe dann festgestellt das beim Start direkt die Sicherheitswarnung erschien:



Die Datei habe ich hier mal hochgeladen und einfach ein tmp davor gesetzt.

http://www.speedshare.org/download.php?id=A2AD523111

Bei Jotti & Co. habe ich die Datei hochgeladen, allerdings wird nichts angezeigt. Dazu kommt das ich in der Historie des Antivirenscanners erst kürzlich ein Exploit gefunden habe, und ich denke das hängt damit zusammen, denn am Samstag war ich noch kurz an dem Rechner und es war alles in Ordnung.

Ich habe das unten stehende Protokoll gezogen und mir fiel sofort der ProxyServer Eintrag auf "http=127.0.0.1:6092". Den habe ich im IXEPL und Firefox gelöscht, die Browser funktionieren wieder.

Die o.g. Datei habe ich noch nicht gelöscht.

C:\Dokumente und Einstellungen\Ludwig\LokaleEinstellungen\Anwendungsdaten\lvdviguoa\fktclxruqiw.exe

Meint Ihr ich soll die Datei direkt löschen? Ich habe mich damit zurück gehalten weil kein Antivirenprogramm angeschlagen hat. Könntet Ihr das als Profis mal prüfen?

Wenn die Datei schadhaft ist, reicht dann das Löschen wieder aus, da der Proxy Eintrag gelöscht wurde oder ist da noch was zu befürchten - bzw soll ich noch was laufen lassen?

Das Antivirenprogramm von Microsoft läuft gerade noch im Intensiv Modus, schlägt beim manuellen Scannen aber nicht an.

Die Datei "1.cmd" im Protokoll ist von mir und soweit in Ordnung.

Würde mich über Eure Hilfe freuen.

Besten Dank vorab und

vielen Dank

JD

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:33:14, on 13.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Security Essentials\msseces.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\POP Peeper\POPPeeper.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = http=127.0.0.1:6092
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -
C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MSSE] "C:\Programme\Microsoft Security
Essentials\msseces.exe" -hide -runkey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [POP Peeper] "C:\Programme\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [qglientm] C:\Dokumente und Einstellungen\Ludwig\Lokale
Einstellungen\Anwendungsdaten\lvdviguoa\fktclxruqiw.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting]
"C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'Default user')
O4 - Global Startup: 1.cmd
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
(file missing)
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl
Class) -
http://catalog.update.microsoft.com/v7/sit...b?1266071131468
O23 - Service: NMSAccessU - Unknown owner -
C:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file

[markusg]

wegen dem symbol, kannst du es nach neustart löschen?
ich sehe in den logs nichts, was dich hindern sollte online banking zu betreiben.
du kannst ja noch nen online scan machen.
http://www.eset.com/online-scanner
ergebniss posten.
ich geb dir dann noch links für sandbox einstellung und noscript sowie filterlisten. aber erst mal machen wir alles so weit fertig

[Gast_blueX_*]

jo hab sie gestern eingesendet.

[jd_cort]

download atf cleaner:
http://www.atribune.org/index.php?option=c...5&Itemid=25
ausführen, alles anhaken, auch auf dem tap firefox, wähle emty selected.
rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, wähle auf allen laufwerken deaktivieren, übernehmen/ok.
5 min warten, wieder einschalten.
berichte ob es noch probleme gibt.

Hallo,

das Symbol konnte ich als Admin nach dem Neustart löschen.

Atf Cleaner habe ich durchgeführt, der Neustart hat keine Probleme bereitet.

Soll ich die Systemwiederherstellung jetzt wieder aktiveren?

Den Online Scan von Eset habe ich noch nicht durchgeführt, soll ich denn neben Microsoft Security Essentials das noch installieren - zwei Antivirenprogramme dachte ich immer vertragen sich nicht so gut. Gefunden hat Microsoft S.E. mit den aktuellsten Signaturen als Intensiv Scan jedoch nichts.

Vielen Dank und beste Grüße

JD

[markusg]

das ist nur ein online scanner, den kannst du dann wieder deinstalieren. die swh wieder einschalten bitte.

[jd_cort]

Hallo,

habe den Online-Scanner Eset durchlaufen lassen, hat aber keine Befunde o.ä. gemeldet.

Gruß

JD