Keylogger entfernen

xXM!chiXx · 25.10.2009, 18:24

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:23:44, on 25.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\Bonjour\mDNSResponder.exe
H:\Programme\Java\jre6\bin\jqs.exe
H:\WINDOWS\system32\PnkBstrA.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Programme\OpenOffice.org 3\program\swriter.exe
H:\Programme\OpenOffice.org 3\program\soffice.exe
H:\Programme\OpenOffice.org 3\program\soffice.bin
H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
H:\WINDOWS\System32\svchost.exe
H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\system32\ntvdm.exe
H:\PROGRA~1\TRENDM~1\HIJACK~1\ABC.COM

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com/?o=15015&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - H:\Programme\AskSearch\bin\DefaultSearch.dll (file missing)
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - H:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - H:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - H:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: Solid State Networks IE Browser Plugin - {BD08A9D5-0E5C-4f42-99A3-C0CB5E860557} - H:\WINDOWS\system32\SolidStateNetworks\SolidStateION\solidax.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (file missing)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] H:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "H:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SweetIM] H:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 H:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 H:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [windowstest] H:\WINDOWS\system32:2moonsHack.exe
O4 - HKLM\..\Run: [CCXC Agent] H:\WINDOWS\system32\28463\CCXC.exe
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\Windows.exe
O4 - HKCU\..\Run: [u*******] "H:\Dokumente und Einstellungen\Michel\Desktop\u*******.exe"
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Google Update] "H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Bit******* DNA] "H:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Microsoft] H:\Programme\Microsoft\WolfTeam MultiHack.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Raptr] H:\PROGRA~1\Raptr\RaptrStub.exe --startup
O4 - HKCU\..\Run: [dcmdulb] "h:\dokumente und einstellungen\michel\lokale einstellungen\anwendungsdaten\dcmdulb.exe" dcmdulb
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = H:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Xfire.lnk = H:\Programme\Xfire\xfire.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = H:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = H:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCfox000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://www.playwhat.com/solidPlugin/solidstateion.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - H:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - H:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8432 bytes

Anzeige

Schau dir mal diesen Bereich an. Dort ist für jeden was dabei!

sprinttom · 25.10.2009, 18:33

Na hat doch geklappt!

So ein verseuchtes System sieht man nicht oft...Viren, Malware, Trojaner...
Es ist fraglich, ob das alles ohne weiteres zu entfernen ist.

Kopiere das Log-File mal in die Auswertungsbox der von mir verlinkten Seite und drücke auf auswerten...

Ich empfehle eine komplette Neuinstallation des Systems (mit Formatierung der Festplatten), vorher aber mit HiJackThis die Problemdateien entfernen...und die Datensicherung nicht vergessen.

xXM!chiXx · 25.10.2009, 18:36

WTF o.0 omg nur Xse und haekchen

aber wie deinstallier ich die ? wo find ich die dateien ???

xXM!chiXx · 25.10.2009, 18:38

Code:

Aktionen
Meldung
Art
Besucherbewertung
Information
 
Logfile of Trend Micro HijackThis v2.0.2


Ihre Version sollte aktuell sein.
 
Platform: Windows XP SP3 (WinNT 5.01.2600)


 
MSIE: Unable to get Internet Explorer version!


  
Boot mode: Normal


Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
  
H:\WINDOWS\System32\smss.exe



Systemprozess - Anwendung, die benutzt wird um Sitzungen zu starten, verwalten und löschen.
  
H:\WINDOWS\system32\winlogon.exe



Systemprozess - Windows Login Routine
  
H:\WINDOWS\system32\services.exe



Systemprozess - Verwaltet die Systemdienste.
  
H:\WINDOWS\system32\lsass.exe



Systemprozess
  
H:\WINDOWS\System32\Ati2evxx.exe



ATI2evxx.exe is related to ATI Technologies Inc. hardware.
  
H:\WINDOWS\system32\svchost.exe



Systemprozess - Allgemeiner Hostprozessname für Dienste.
  
H:\WINDOWS\System32\svchost.exe



Systemprozess - Allgemeiner Hostprozessname für Dienste.
  
H:\WINDOWS\system32\spoolsv.exe



Systemprozess
  
H:\WINDOWS\system32\Ati2evxx.exe



ATI2evxx.exe is related to ATI Technologies Inc. hardware.
  
H:\WINDOWS\Explorer.EXE



Systemprozess für Desktop und Taskleiste.
  
H:\Programme\Bonjour\mDNSResponder.exe



Part of Apple iTunes 5
  
H:\Programme\Java\jre6\bin\jqs.exe


Sicher (4.16 / 5.00)
  
H:\WINDOWS\system32\PnkBstrA.exe



Punkt Buster Anti-Cheating Software
  
H:\WINDOWS\system32\wscntfy.exe



Windows XP Securitycenter (Service Pack 2)
  
H:\WINDOWS\system32\wuauclt.exe


Sicher

Windows Update AutoUpdate Client
  
H:\Programme\OpenOffice.org 3\program\swriter.exe


Sicher (4.29 / 5.00)
  
H:\Programme\OpenOffice.org 3\program\soffice.exe



Open Office
  
H:\Programme\OpenOffice.org 3\program\soffice.bin



Open Office Quickstart
  
H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe


Sicher (3.95 / 5.00)
  
H:\WINDOWS\System32\svchost.exe



Systemprozess - Allgemeiner Hostprozessname für Dienste.
  
H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe


Sicher (3.95 / 5.00)
  
H:\WINDOWS\system32\notepad.exe



In Windows integriertes Schreibprogramm.
  
H:\WINDOWS\system32\notepad.exe



In Windows integriertes Schreibprogramm.
  
H:\WINDOWS\system32\ntvdm.exe



Systemprozess - Anwendung die es ermöglicht, 16-bit Prozesse auf 32-bit Systemen laufen zu lassen.
  
H:\PROGRA~1\TRENDM~1\HIJACK~1\ABC.COM


Sicher (4.49 / 5.00)
  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com/?o=15015&l=dis


Diese Seite wurde als gut identifiziert!
  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=


Schädlich
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
  
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=


Sehr sicher
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
  
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s


Neutral
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local


Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
  
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - H:\Programme\AskSearch\bin\DefaultSearch.dll (file missing)


Neutral (3 / 5.00)
  
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll


Sicher
Neutral (3.3 / 5.00)
  
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - H:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL


Sollte gefixt werden!
  
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - H:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL


Unbedingt fixen! MWSSRCAS.DLL - MyWebSearch, http://www.doxdesk.com/parasite/MySearch .html
  
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll


AcroIEhelper.ocx, AcroIEhelper.dll - Adobe Acrobat reader
  
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - H:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL


Unbedingt fixen! Mwsbar.dll - MyWebSearch, http://www.doxdesk.com/parasite/MySearch .html
  
O2 - BHO: Solid State Networks IE Browser Plugin - {BD08A9D5-0E5C-4f42-99A3-C0CB5E860557} - H:\WINDOWS\system32\SolidStateNetworks\SolidStateION\solidax.dll


Nicht bekanntes Programm.
  
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (file missing)


Schädlich (2.47 / 5.00)
  
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll


jp2ssv.dll - Sun_Java, http://java.sun.com/javase/downloads/ind ex.jsp browser plugin
  
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll


jqs_plugin.dll - Java Quick Starter, https://jdk6.dev.java.net/testQS.html
  
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll


mgToolbarIE.dll - SweetIM, http://www.sweetim.com/
  
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll


mgToolbarIE.dll - SweetIM, http://www.sweetim.com/
  
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (file missing)


Schädlich (2.47 / 5.00)
  
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r


Sicher
Nicht gefährlich aber unnötig. nVidia nForce Taskbar Utility - quick access to the nForce2 "Sound Storm" control panel and related utilitys
  
O4 - HKLM\..\Run: [ATIPTA] H:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe


Control panel for the ATI series of video cards allowing access to such features as display resolution, colour depth, etc. Available via Start -> Settings -> Control Panel -> Display. Some users may need it if they have optimised their settings
  
O4 - HKLM\..\Run: [ATICCC] "H:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime


ATI Catalyst ControlCenter
  
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe


Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
  
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe


Neutral
Part of MusicMatch Jukebox - digital music player / CD burner and ripper / music organizer / playlist creator
  
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime


Nicht gefährlich aber unnötig. QuickTime
  
O4 - HKLM\..\Run: [SweetIM] H:\Programme\SweetIM\Messenger\SweetIM.exe


Nicht gefährlich aber unnötig. vSweetIM - send fancier smiley-faces and IM graphics to friends who are using MSN Messenger. They are only able to see these advanced smiley-faces if they also have SweetIM installed
  
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 H:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF


Schädlich (2.09 / 5.00)
  
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 H:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S


Schädlich (1.91 / 5.00)
  
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe


Unbedingt fixen! MyWebSearch Malware
  
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe"


Java von Sun
  
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"


Nicht gefährlich aber unnötig. Speeds up the time it takes to load the Adobe Reader application. Your choice
  
O4 - HKLM\..\Run: [windowstest] H:\WINDOWS\system32:2moonsHack.exe


Nicht bekanntes Programm.
  
O4 - HKLM\..\Run: [CCXC Agent] H:\WINDOWS\system32\28463\CCXC.exe


Nicht bekanntes Programm.
  
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\Windows.exe


Unbedingt fixen! Added as a result of the KAZMOR, BOBBINS& ALADINZ.D VIRUSES!
  
O4 - HKCU\..\Run: [u*******] "H:\Dokumente und Einstellungen\Michel\Desktop\u*******.exe"


µ*******
  
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe


Unbedingt fixen! MyWebSearch Malware
  
O4 - HKCU\..\Run: [Google Update] "H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c


Neutral (3.47 / 5.00)
  
O4 - HKCU\..\Run: [Bit******* DNA] "H:\Programme\DNA\btdna.exe"


Neutral (3.03 / 5.00)
  
O4 - HKCU\..\Run: [Microsoft] H:\Programme\Microsoft\WolfTeam MultiHack.exe


Nicht bekanntes Programm.
  
O4 - HKCU\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background


Windows Messenger utility. If you don\'t use Windows Messenger, this can be annoying. Available via Start -> Programs. Go to Windows Messenger > Tools > Options > Preferences and uncheck "Run this program when Windows starts"
  
O4 - HKCU\..\Run: [Raptr] H:\PROGRA~1\Raptr\RaptrStub.exe --startup


Nicht bekanntes Programm.
  
O4 - HKCU\..\Run: [dcmdulb] "h:\dokumente und einstellungen\michel\lokale einstellungen\anwendungsdaten\dcmdulb.exe" dcmdulb


Neutral (3.08 / 5.00)
  
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')


Office related
  
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')


Office related
  
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')


Office related
  
O4 - HKUS\S-1-5-18\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background (User 'SYSTEM')


Windows Messenger utility. If you don\'t use Windows Messenger, this can be annoying. Available via Start -> Programs. Go to Windows Messenger > Tools > Options > Preferences and uncheck "Run this program when Windows starts"
  
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')


Office related
  
O4 - Startup: OpenOffice.org 3.1.lnk = H:\Programme\OpenOffice.org 3\program\quickstart.exe


OpenOffice.org 1.1.2 Quickstarter
  
O4 - Startup: Xfire.lnk = H:\Programme\Xfire\xfire.exe


Nicht gefährlich aber unnötig. Terratec DMXFire 1024 soundcard controlpanel
  
O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe


ATI CATALYST
  
O4 - Global Startup: Logitech Desktop Messenger.lnk = H:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe


Nicht gefährlich aber unnötig. Installed with the software for Logitech products. Automatically checks for software upgrades AND new products
  
O4 - Global Startup: Logitech SetPoint.lnk = H:\Programme\Logitech\SetPoint\KEM.exe


Logitech SetPoint
  
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCfox000


Schädlich
Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.
  
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe


Der Eintrag wurde als Gut erkannt.
  
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe


Der Eintrag @xpsp3res.dll, wurde als Gut erkannt.
  
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe


Der Eintrag ICQ6 wurde als Gut erkannt.
  
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe


Der Eintrag ICQ6 wurde als Gut erkannt.
  
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe


Der Eintrag Messenger wurde als Gut erkannt.
  
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe


Der Eintrag Windows Messenger wurde als Gut erkannt.
  
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://www.playwhat.com/solidPlugin/solidstateion.cab


Sicher
Prüfen ob Sie diese Seite kennen und ggf. fixen. Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!
  
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab


Sicher
Prüfen ob Sie diese Seite kennen und ggf. fixen. Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!
  
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL


Dieser Eintrag wurde als gut identifiziert!
  
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe


Dieser Dienst (Ati2evxx.exe) wurde als gut identifiziert.
  
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe


Dieser Dienst (ati2sgag.exe) wurde als gut identifiziert.
  
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - H:\Programme\Bonjour\mDNSResponder.exe


Dieser Dienst (mDNSResponder.exe) wurde als gut identifiziert.
  
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe


Sicher (4.16 / 5.00)
  
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe


Schädlich (2.37 / 5.00)
  
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)


Sicher (3.77 / 5.00)
  
O23 - Service: PnkBstrA - Unknown owner - H:\WINDOWS\system32\PnkBstrA.exe


Dieser Dienst (PnkBstrA.exe) wurde als gut identifiziert.

... .

.

sprinttom · 25.10.2009, 18:40

Bei HiJackThis ist unten ein Knopf FixChecked

Ich bezweifle aber das alles entfernt werden kann.
Du kannst es dann mal im abegsicherten Modus von XP probieren.

xXM!chiXx · 25.10.2009, 18:43

muss ich da die an kreuzen die ein X habn ???

bLacK_dRaSanG · 25.10.2009, 18:53

Die Anleitung stimmte nicht ganz, der Code-Tags wäre der sechste Button von rechts gewesen. Aber ist glücklicherweise in diesem Forum auch eher egal

.

Deinstalliere unter Start-->Systemsteuerung-->Software mal diese Programme:

Askbar

SweetIM

MyWebSearch

Die Namen müssen nicht genau die oben genannten entsprechen.

Diese Einträge fixt du (diese haben entweder ein Fragezeichen, ein rotes Kreuz, einige hatten sogar ein grünes Häkchen, hielte ich aber für fragwürdig):

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com/?o=15015&l=dis

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s         

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - H:\Programme\AskSearch\bin\DefaultSearch.dll (file missing)

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - H:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - H:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - H:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (file missing)

O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (file missing)

O4 - HKLM\..\Run: [SweetIM] H:\Programme\SweetIM\Messenger\SweetIM.exe

O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 H:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 H:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [windowstest] H:\WINDOWS\system32:2moonsHack.exe

O4 - HKLM\..\Run: [CCXC Agent] H:\WINDOWS\system32\28463\CCXC.exe

O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\Windows.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [Microsoft] H:\Programme\Microsoft\WolfTeam MultiHack.exe

O4 - HKCU\..\Run: [dcmdulb] "h:\dokumente und einstellungen\michel\lokale einstellungen\anwendungsdaten\dcmdulb.exe" dcmdulb


O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCfox000

Man fixt, indem man Hijackthis startet und auf "Do a system scan only" klickt.
Nun sucht man den oben angegebende Eintrag und markiert, das leere weiße Kästchen mit einen Haken, neben den entsprechenden Eintrag.
Schließlich klickt man auf "Fix checked"

Folgende Dateien solltest du mal auf VirusTotal - Free Online Virus and Malware Scan hoch laden:

Code:

h:\dokumente und einstellungen\michel\lokale einstellungen\anwendungsdaten\dcmdulb.exe

H:\Programme\Microsoft\WolfTeam MultiHack.exe

C:\WINDOWS\System32\Windows.exe

H:\WINDOWS\system32\28463\CCXC.exe

H:\WINDOWS\system32:2moonsHack.exe

Und poste die Ergebnisse (Beispiel im Anhang) und ein neues Hijackthis-Logfile.

Jenachdem was virustotal.com preisgibt, wirst du wohl abwägen müssen, ob eine Reinigung noch sinnvoll ist...
Ansonsten muss Windows neuinstalliert werden....

mfg
bLacK_dRaSanG

xXM!chiXx · 25.10.2009, 19:01

Raptr ist sowas wie Xfire und wird bei machen scpielen vorgeschlagen

xXM!chiXx · 25.10.2009, 19:05

ist das so gut ???

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:04:51, on 25.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\Bonjour\mDNSResponder.exe
H:\Programme\Java\jre6\bin\jqs.exe
H:\WINDOWS\system32\PnkBstrA.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Programme\OpenOffice.org 3\program\swriter.exe
H:\Programme\OpenOffice.org 3\program\soffice.exe
H:\Programme\OpenOffice.org 3\program\soffice.bin
H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
H:\WINDOWS\System32\svchost.exe
H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\system32\ntvdm.exe
H:\PROGRA~1\TRENDM~1\HIJACK~1\ABC.COM

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] H:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "H:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\Windows.exe
O4 - HKCU\..\Run: [u*******] "H:\Dokumente und Einstellungen\Michel\Desktop\u*******.exe"
O4 - HKCU\..\Run: [Google Update] "H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Bit******* DNA] "H:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Microsoft] H:\Programme\Microsoft\WolfTeam MultiHack.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Raptr] H:\PROGRA~1\Raptr\RaptrStub.exe --startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = H:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Xfire.lnk = H:\Programme\Xfire\xfire.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = H:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = H:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} - http://www.playwhat.com/solidPlugin/solidstateion.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - H:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - H:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5701 bytes

?

bLacK_dRaSanG · 25.10.2009, 19:06

xXM!chiXx

Raptr ist sowas wie Xfire und wird bei machen scpielen vorgeschlagen

Ok, ich hab die Liste dann überarbeitet.

Wie sieht es mit den Rest aus ?

Code:

 	O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\Windows.exe
 	O4 - HKCU\..\Run: [Microsoft] H:\Programme\Microsoft\WolfTeam MultiHack.exe

Diese zwei sind noch vorhanden und ein Dienst...

Ich warte dann noch auf die Ergebnisse von virustotal.com.

Die Programme hast du aber bereits deinstalliert oder?

xXM!chiXx · 25.10.2009, 19:13

Virustotal. MD5: 0c7a714b8e1d2ead2afc90dcc43bbe18 Spyware.Ardakey Heuristic.LooksLike.Win32.Spyware.J Trojan.Generic.1813812
das ist das CCXC.exe oda wie das heisst

sprinttom · 25.10.2009, 19:13

Bis auf O4 - HKLM\..\Run: [Windows]c:\WINDOWS\System32\Windows.exe - Unbedingt fixen! Added as a result of the KAZMOR, BOBBINS& ALADINZ.D VIRUSES!

und

O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe

bLacK_dRaSanG · 25.10.2009, 19:15

xXM!chiXx

Virustotal. MD5: 0c7a714b8e1d2ead2afc90dcc43bbe18 Spyware.Ardakey Heuristic.LooksLike.Win32.Spyware.J Trojan.Generic.1813812
das ist das CCXC.exe oda wie das heisst

Ok, die Datei CCXC.exe kannst du dann natürlich schon mal löschen.
Dann fehlen nur noch 4.

xXM!chiXx · 25.10.2009, 19:15

nein ich konnte sie net deinstallieren auf jeden nicht bei Software weil Software bei mir ne .txt datei ist -.-

xXM!chiXx · 25.10.2009, 19:18

ach ja ich hab noch ein Problem wegen dem C:...WIndows.exe ich hab kein C:

xXM!chiXx · 25.10.2009, 19:19

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:25, on 25.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\Bonjour\mDNSResponder.exe
H:\Programme\Java\jre6\bin\jqs.exe
H:\WINDOWS\system32\PnkBstrA.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Programme\OpenOffice.org 3\program\swriter.exe
H:\Programme\OpenOffice.org 3\program\soffice.exe
H:\Programme\OpenOffice.org 3\program\soffice.bin
H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
H:\WINDOWS\System32\svchost.exe
H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\system32\ntvdm.exe
H:\PROGRA~1\TRENDM~1\HIJACK~1\ABC.COM

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] H:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "H:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [u*******] "H:\Dokumente und Einstellungen\Michel\Desktop\u*******.exe"
O4 - HKCU\..\Run: [Google Update] "H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Bit******* DNA] "H:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Microsoft] H:\Programme\Microsoft\WolfTeam MultiHack.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Raptr] H:\PROGRA~1\Raptr\RaptrStub.exe --startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = H:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Xfire.lnk = H:\Programme\Xfire\xfire.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = H:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = H:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} - http://www.playwhat.com/solidPlugin/solidstateion.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - H:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - H:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5640 bytes

... jetzt ?

bLacK_dRaSanG · 25.10.2009, 19:20

xXM!chiXx

ach ja ich hab noch ein Problem wegen dem C:...WIndows.exe ich hab kein C:

Ist komischerweise aber unter C:\... eingetragen

.
Dann schaue erstmal unter H:. Falls du sie dort auch nicht findest, fahre mit den anderen fort.

xXM!chiXx · 25.10.2009, 19:31

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:25, on 25.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\Bonjour\mDNSResponder.exe
H:\Programme\Java\jre6\bin\jqs.exe
H:\WINDOWS\system32\PnkBstrA.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Programme\OpenOffice.org 3\program\swriter.exe
H:\Programme\OpenOffice.org 3\program\soffice.exe
H:\Programme\OpenOffice.org 3\program\soffice.bin
H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
H:\WINDOWS\System32\svchost.exe
H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\system32\ntvdm.exe
H:\PROGRA~1\TRENDM~1\HIJACK~1\ABC.COM

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] H:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "H:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [u*******] "H:\Dokumente und Einstellungen\Michel\Desktop\u*******.exe"
O4 - HKCU\..\Run: [Google Update] "H:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Bit******* DNA] "H:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Microsoft] H:\Programme\Microsoft\WolfTeam MultiHack.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Raptr] H:\PROGRA~1\Raptr\RaptrStub.exe --startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = H:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Xfire.lnk = H:\Programme\Xfire\xfire.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = H:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = H:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} - http://www.playwhat.com/solidPlugin/solidstateion.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - H:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - H:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5640 bytes

... jetzt ?