Bitte mal anschauen logfile Einstellungen

[-Jura-]

Kann sich das mal jemand anschauen sagen was ich machen kann
ich hab ein virus oder so.
ich hab da leider kein plan von



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:09, on 24.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\nvraidservice.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\system32\rundll32.exe
D:\Programme\DAEMON Tools\daemon.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\MSN Messenger\MsnMsgr.Exe
D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\dwwin.exe
D:\WINDOWS\system32\wbem\unsecapp.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - D:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - D:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - D:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - D:\Dokumente und Einstellungen\Jurij\Desktop\Neuer Ordner (2)\PRMTIE\prmtie.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - D:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [NVRaidService] D:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "D:\WINDOWS\TEMP\E_S7F.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AAWTray] D:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "D:\DOKUME~1\Jurij\LOKALE~1\Temp\E_S7.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F653A9E7-F743-4652-A924-E0A54368CB7 0}: NameServer =
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) -
--
End of file - 7647 bytes

[Caimbeul]

Ich seh da gerade nur

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - D:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

Was aber nicht schädlich sein muss. Du könntest die Datei "A5SRCHAS.DLL" mal bei Virustotal testen lassen. (Siehe meine Signatur für den Link) Kann aber auch nur eine Suchleiste sein die Hijackthis bemängelt.

[raman]

Was laesst dich vermuten, das du irgendwo einen Virus oder Malware hast?

[-Jura-]

weil mein virus programm (kaspersky) stendig viruse findet
ich weiß nicht ob das jetzt wichtig ist aber wenn ich mein virus programm öffne und auf gefundene klicke steht da:



gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{9163BCBB-1492-4A9D-926D-E87E01A6542A}\setup.exe
gefunden: trojanisches Programm Trojan-Clicker.HTML.Agent.a URL: hxxp://85.17.52.45/pay/enter.php?id=2

[Caimbeul]

Also erstmal natürlich nicht anklicken die setup.exe. Sollte ja klar sein. Hoffe Du hast das noch nicht gemacht.

Ist diese Meldung die einzige oder gibt es noch andere?

Sofern die Datei nur im Temp Ordner ist muss es nicht zwingend eine Infektion des Systems bedeuten. Hast du mit Kaspersky schonmal das komplette System gescannt?

[der allgäuer]

Ich seh da gerade nur

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - D:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

Was aber nicht schädlich sein muss. Du könntest die Datei "A5SRCHAS.DLL" mal bei Virustotal testen lassen. (Siehe meine Signatur für den Link) Kann aber auch nur eine Suchleiste sein die Hijackthis bemängelt.

die asktoolbar ist bei nero dabei.
ansich eine unverschämtheit seitens ahead so einen müll mit zu verkaufen.
muss bei neroinstallation explizit abgewählt werden.

[raman]

Dann raeumen wir mal etwas auf. Hake folgendes in Hijackthis an und druecke fix checked:

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - D:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - D:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - D:\Dokumente und Einstellungen\Jurij\Desktop\Neuer Ordner (2)\PRMTIE\prmtie.dll (file missing)
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - D:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "D:\WINDOWS\TEMP\E_S7F.tmp" /EF "HKLM"
O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "D:\DOKUME~1\Jurij\LOKALE~1\Temp\E_S7.tmp" /EF "HKCU"
O24 - Desktop Component 0: (no name) -

Dann mache noch bitte folgendes:
Temporaere Dateien beseitigen


Starte das Programm ATF cleaner http://www.atribune.org/ccount/click.php?id=1 , hake "Select All" an und druecke "Empty Selected". Das selbe kann man ueber die Reiter Firefox und Opera machen, sofern man diese Programme nutzt.

Oder nutze die mit Windows gelieferte Datenträgerbereinigung(außer alte Dateien komprimieren) und saeubere dort die Systemwiederherstellung über "weitere Optionen".
http://support.microsoft.com/default.aspx?scid=kb;de;315246

-----------------------------------------------------------------------------------------------

Combofix

Lade es von von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop

Starte es durch doppelklick auf die Combofix.exe und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Sowie ein neues Hijackthis Log. Bitte in dieser Reihenfolge

[-Jura-]

an Caimbeul!

Zu deiner frage (Ist diese Meldung die einzige oder gibt es noch andere?)

ja es gibt noch andere:

gefunden: potentiell gefährliche Software Invader Prozess: D:\Programme\Zylom Games\Bricks Of Atlantis Deluxe\bricksofatlantis.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{9163BCBB-1492-4A9D-926D-E87E01A6542A}\setup.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\~e5.0001
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{F4FB38C7-900F-49E0-88D3-D96F0AA0979B}\uninstall.exe
gefunden: trojanisches Programm Trojan-Clicker.HTML.Agent.a URL: hxxp://85.17.52.45/pay/enter.php?id=2
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{A4B8C078-BA83-40E2-8C5F-096BA82183BA}\uninstall.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{08864727-B69F-402B-ABDC-ABE49F037FCA}\setup.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{3CCBAD50-D0A0-46B9-8026-F2586992FC1F}\uninstall.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{290258B6-70E9-4163-9652-5808004E90A2}\setup.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{90810031-82B1-4C2A-BA2A-0E2E6E31950E}\setup.exe

Bearbeitungsgrund: Link "unklickbar" gemacht

[Gast_rock_*]

den besagten ordner TEMP kannst du leeren! am besten im abgesicherten modus!

den hier!:
Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp

dann papierkorb leeren.



Der Beitrag wurde von rock bearbeitet: 25.10.2007, 17:36

[-Jura-]

also bis jetzt punktioniert alles
mal sehen was die tage passiert

bis jetzt sag im mal danke

Der Beitrag wurde von -Jura- bearbeitet: 25.10.2007, 22:57