Was ist da los? Virus Trojaner Mailwurm?

Begonnen von AMDmaster, 11. Oktober 2007, 21:17:59 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

AMDmaster

11. Oktober 2007, 21:17:59 Uhr Letzte Bearbeitung: 11. Oktober 2007, 21:26:23 Uhr von AMDmaster
Wäre nett wenn ihr euch mal das anschaut :) ???
Hier der Logfile des Pc:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:14, on 11.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
D:\Programme\Online Video Add-on\icthis.exe
D:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
D:\Programme\Online Video Add-on\isfmntr.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Gemeinsame Dateien\AOL\1178973043\ee\AOLSoftware.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
D:\Programme\Java\jre1.6.0_02\bin\jusched.exe
D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programme\Real\RealPlayer\RealPlay.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Messenger\MSMSGS.EXE
D:\Programme\Online Video Add-on\icmntr.exe
D:\Programme\Online Video Add-on\isfmm.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programme\AOL 9.0\aoltray.exe
D:\Programme\Google\Google Updater\GoogleUpdater.exe
D:\WINDOWS\wanmpsvc.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\AOL 9.0\waol.exe
D:\Programme\AOL 9.0\shellmon.exe
D:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avcenter.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B8C5186E-EC37-4889-9C2E-F73649FFB7BB} - D:\Programme\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - D:\Programme\TVgenial\Interfaces\IEButtonEbayInterface.dll
O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - D:\Programme\Online Video Add-on\isfmdl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - D:\Programme\Online Video Add-on\ictmdl.dll
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] D:\Programme\Gemeinsame Dateien\AOL\1178973043\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RealTray] D:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Google Desktop Search] "D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKLM\..\Policies\Explorer\Run: [some] D:\Programme\Online Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] D:\Programme\Online Video Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Google Updater.lnk = D:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178970078859
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D0A4415-0ABC-44DF-877F-D53739757E48}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DDC5C86-343A-4096-91A6-96726501CFFC}: NameServer = 85.255.113.147,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\..\{72A672D8-D4BE-43C5-916F-D3688E7AC53F}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.147 85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.147 85.255.112.188
O20 - AppInit_DLLs: D:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL
O22 - SharedTaskScheduler: hellenophile - {6f396a67-f473-48c9-9950-636ce17e584e} - D:\WINDOWS\system32\yesgnhr.dll (file missing)
O22 - SharedTaskScheduler: eurymus - {ee6bd1ad-1992-4f2c-8ea2-edc6eee4548b} - D:\WINDOWS\system32\rrtrit.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - D:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: GoogleDesktopManager - Google - D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - D:\WINDOWS\wanmpsvc.exe

--
End of file - 8747 bytes
Mein System:
http://www.nethands.de/pys/show.php4?id=48086
neues system:
http://www.nethands.de/pys/show.php4?id=56830

tyco

Bitte keine Supportanfragen per PM stellen.

J.C.

dem logfile nach ...einige

die einträge mit "Online Video" sind Malware und vermutlich der Anlass deines Threads. Du hast ein gelbes Ausrufezeichen in der Taskleiste und Aufforderungen Antispyware u.ä. zu installieren?

Lasse hijack this die Einträge im abgesicherten Modus fixen:
D:\Programme\Online Video Add-on\icthis.exe
D:\Programme\Online Video Add-on\isfmntr.exe
D:\Programme\Online Video Add-on\icmntr.exe
D:\Programme\Online Video Add-on\isfmm.exe

O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - D:\Programme\Online Video Add-on\isfmdl.dll
O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - D:\Programme\Online Video Add-on\ictmdl.dll
O4 - HKLM\..\Policies\Explorer\Run: [some] D:\Programme\Online Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] D:\Programme\Online Video Add-on\isfmntr.exe

danach guckst du ob der ordner d:\programme\online video add-on verschwunden ist. wenn nicht, ein unlocker tool (z.b. (http://www.chip.de/downloads/c1_downloads_18414122.html) benutzen und löschen.


Des weiteren ist folgendes überflüssig, da die datei nicht existiert, und falls sie existieren würde, einen zugriff von außen auf den IE ermöglichen könnte. Fixen!
O2 - BHO: (no name) - {B8C5186E-EC37-4889-9C2E-F73649FFB7BB} - D:\Programme\Video ActiveX Access\iesplg.dll (file missing)


Bei den vorherigen Funden wäre es gut, wenn du die IPs unter O17 überprüfen würdest. (zb mit Whois) wenn du den Host nicht kennst, fixen!


klingt komisch und kann weg, da die Datei eh nicht exisitert:
O22 - SharedTaskScheduler: hellenophile - {6f396a67-f473-48c9-9950-636ce17e584e} - D:\WINDOWS\system32\yesgnhr.dll (file missing)


überprüf die Datei  rrtrit.dll einmal bei einem Online Virus Scan Service (zb: http://www.kaspersky.com/de/virusscanner), in einem franz. Forum wird die Datei mit einem Hoax in Verbindung gebracht (ich kann kein Wort Französisch^^)
O22 - SharedTaskScheduler: eurymus - {ee6bd1ad-1992-4f2c-8ea2-edc6eee4548b} - D:\WINDOWS\system32\rrtrit.dll


dann würde ich dir noch ein Virenscannerupdate nahelegen und eine Intensivpüfung empfehlen.







C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
    
Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      





AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V

AMDmaster

Scheint Jetzt weg zu sein MISTZEUG!
Wer macht sowas?
Mein System:
http://www.nethands.de/pys/show.php4?id=48086
neues system:
http://www.nethands.de/pys/show.php4?id=56830