[Turkleton]

Hallo zusammen,

Kaspersky hat mich heute mit der Meldung überrascht, dass ich offenbar einen Trojaner auf dem Rechner habe (genauer in: C:\Windows\System32\drivers\etc\hosts), den er auch gleich gelöscht hat:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Statt der Host-Datei war im etc-Ordner jetzt: Imhosts.sam
Zumindest glaube ich, dass Imhosts.sam vorher nicht da war.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Ich schätze das Löschen der Host wird auch der Grund sein, wieso mir Adobe Acrobat Pro heute gesagt hat, dass meine Serial ungültig ist.

Desweiteren habe ich heute noch 2 weitere Fehlermeldungen bekommen, wo ich mir aber nicht sicher bin, ob die im Zusammenhang mit dem Trojaner / Löschen der Host stehen.

Ich habe dann einfach eine Host-Datei, die beim Up von Adobe Acrobat Pro dabei war, in den etc-Ordner eingefügt.
Nach einem Neustart musste ich aber feststellen, dass die neue Host offenbar wieder von einem Trojaner befallen war. Zumindest wurde sie wieder von Kaspersky gelöscht.

Könnt ihr mir sagen, ob es sich wirklich um einen Trojaner handelt? Und, wenn ja, wie ich ihn wieder von meinen PC runterbekomme?
Im Voraus schonmal vielen Dank für eure Hilfe

Gruß Turkleton

[ckjthedogmaster]

Zunächst mal solltest du die Bilder kleiner machen. *Achte auf die Regeln*

Dann lädt's du dir [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] und machst n scan und postest den Log.

Mfg

[Turkleton]

Hallo ckjthedogmaster,

Danke für deine Antwort.

Zitat:

Zunächst mal solltest du die Bilder kleiner machen. *Achte auf die Regeln*

Ich werds für die Zukunft beachten.

Hier die Daten der Logilfe. Ich packs mal zwecks Übersichtlichkeit in den Spoiler:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 00:26:57, on 09.06.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\FreePDF_XP\fpassist.exe
D:\Programme\Programme\Nero\Nero 10\Nero BackItUp\NBAgent.exe
C:\Program Files (x86)\avmwlanstick\WLanGUI.exe
D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
D:\Programme\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Programme\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Programme\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Programme\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files (x86)\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.ex e" -launchedbylogin
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [NBAgent] "D:\Programme\Programme\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files (x86)\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [AVP] "D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"
O4 - HKCU\..\Run: [runsys32] C:\Users\Prof\AppData\Local\Temp\Winupd .exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Winupd .exe
O8 - Extra context menu item: An OneNote s&enden - res://D:\PROGRA~1\PROGRA~1\MICROS~1\Office14\ONBttnIE.dl l/105
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://D:\PROGRA~1\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O9 - Extra button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - D:\Programme\Programme\ICQ7.4\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - D:\Programme\Programme\ICQ7.4\ICQ.exe
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\PROGRA~1\KASPER~1\KASPER~1\sbhook.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stw rt64.inf_amd64_neutral_afc3018f8cfedd20\AESTSr64.e xe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files (x86)\avmwlanstick\WlanNetService.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @C:\Program Files (x86)\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files (x86)\Nero\Update\NASvc.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Acronis OS Selector Activator (OS Selector) - Unknown owner - D:\Programme\Programme\Acronis\DiskDirector\OSS\re install_svc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stw rt64.inf_amd64_neutral_afc3018f8cfedd20\STacSV64.e xe
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - D:\Programme\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10431 bytes

Gruß Turkleton

[ckjthedogmaster]

Ok,

Zunächst deaktivierst du über Start Arbeitsplatz Eigenschaften Systemwiederherstellung die Systemwiederherstellung, Danach startest du im abgesicherten Modus.

Gehe auf Start - Ausführen - regedit

und lösche folgende Einträge:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\winup.exe

und folgenden Schlüssel:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{990B770D-62AE-5421-DA6D-16033B76258C}

Danach suchst du nach folgenden Dateien im Windows/System Ordner:

memsys.dll
winup.exe
xtemp1.exe
xtemp2.exe

Diese ebenfalls löschen.

Danach neustarten und ein neuen Scan mit Hijack und [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] machen.

Mfg

[Turkleton]

Alles klar ich werds gleichmal probieren.

Edit

Folgenden Eintrag konnte ich löschen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\winup.exe

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Folgende Einträge/Dateien habe ich nicht gefunden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{990B770D-62AE-5421-DA6D-16033B76258C}
memsys.dll
winup.exe
xtemp1.exe
xtemp2.exe

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Weißt du woran das liegen kann?

Gruß Turkleton


PS

Hier nochmal eine neue Logfile von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:50:11, on 09.06.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\FreePDF_XP\fpassist.exe
D:\Programme\Programme\Nero\Nero 10\Nero BackItUp\NBAgent.exe
C:\Program Files (x86)\avmwlanstick\WLanGUI.exe
D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
D:\Programme\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Programme\Mozilla Firefox\plugin-container.exe
D:\Programme\Programme\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Programme\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Programme\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files (x86)\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.ex e" -launchedbylogin
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [NBAgent] "D:\Programme\Programme\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files (x86)\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [AVP] "D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"
O4 - HKCU\..\Run: [runsys32] C:\Users\Prof\AppData\Local\Temp\Winupd .exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Winupd .exe
O8 - Extra context menu item: An OneNote s&enden - res://D:\PROGRA~1\PROGRA~1\MICROS~1\Office14\ONBttnIE.dl l/105
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://D:\PROGRA~1\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O9 - Extra button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - D:\Programme\Programme\ICQ7.4\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - D:\Programme\Programme\ICQ7.4\ICQ.exe
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\PROGRA~1\KASPER~1\KASPER~1\sbhook.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stw rt64.inf_amd64_neutral_afc3018f8cfedd20\AESTSr64.e xe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files (x86)\avmwlanstick\WlanNetService.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @C:\Program Files (x86)\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files (x86)\Nero\Update\NASvc.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Acronis OS Selector Activator (OS Selector) - Unknown owner - D:\Programme\Programme\Acronis\DiskDirector\OSS\re install_svc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stw rt64.inf_amd64_neutral_afc3018f8cfedd20\STacSV64.e xe
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - D:\Programme\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10544 bytes

[ckjthedogmaster]

Starte Hijack noch einmal mit: Do a scan only

und markiere folgende Einträge:

O4 - HKCU\..\Run: [runsys32] C:\Users\Prof\AppData\Local\Temp\Winupd .exe
O4 - Startup: Winupd .exe

Danach fixen..

Im ausführen- Fenster folgendes eingeben:

del /f C:\Users\Prof\AppData\Local\Temp\Winupd .exe

Und dann machst du einen scan motz Malwarebytes

[Turkleton]

Ich konnte den Befehl:

del /f C:\Users\Prof\AppData\Local\Temp\Winupd .exe

nicht ausführen. Da kam immer folgende [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].

Meine Vorgehensweise:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]


Gruß Templeton


Edit

Lass gerade Malwarebeytes durchlaufen. Bis jetzt 4 infizierte Objekte. Manchmal ploppt in der Taskleiste auch [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] auf. avp.exe ist doch Kaspersky, oder? Wieso krieg ich dafür eine Warnung? Hätte ich Kaspersky vor Ausführen von Malwarebyts deaktivieren sollen?

[pablo.rodriguez]

eventuell kam der Fehler weil am Schluß nicht wirklich ein Leerzeichen zwischen "Winupd" + exe ist.

Könntet es aber auch vereinfachen in dem Du

rmdir /s /q %tmp%

eingibst. Löscht zwar das komplette temporäre Verzeichnis. Was ich persönlich aber in Deinem Fall auch nicht schlecht finden würde.

[Turkleton]

Hier der Logbericht von Malwarebytes:

Malwarebytes' Anti-Malware 1.51.0.1200
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Datenbank Version: 6817

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

09.06.2011 14:45:09
mbam-log-2011-06-09 (14-45-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 573308
Laufzeit: 2 Stunde(n), 40 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 31

Infizierte Speicherprozesse:
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> 1696 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> No action taken.
c:\Users\Prof\AppData\Local\Temp\%temp%.exe (RiskWare.Tool.HCK) -> No action taken.
c:\Users\Prof\AppData\Local\Temp\Winupd .exe (Spyware.Passwords.Gen) -> No action taken.
d:\programme\KeyGens\Games\call of duty cd key generator.exe (RiskWare.Tool.CK) -> No action taken.
d:\programme\KeyGens\Games\CoD2.exe (Trojan.Agent) -> No action taken.
d:\programme\KeyGens\Games\CoD4.exe (Trojan.Agent.CK) -> No action taken.
d:\programme\KeyGens\Games\ea games generic multi keygen v195.exe (RiskWare.Tool.CK) -> No action taken.
d:\programme\KeyGens\Games\ea games keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\programme\KeyGens\Games\ea keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\programme\KeyGens\Games\ea.games.multi.keygen.e xe (RiskWare.Tool.CK) -> No action taken.
d:\programme\KeyGens\Games\empire earth 2.exe (Trojan.Downloader) -> No action taken.
d:\programme\KeyGens\Games\keygen joe.exe (Trojan.Downloader) -> No action taken.
d:\programme\programme\hijackthis\trend micro\hijackthis\backups\backup-20110609-114643-711-winupd .exe (Spyware.Passwords.Gen) -> No action taken.
d:\programme\setup-dateien\tc11.exe (Trojan.FlashKiller) -> No action taken.
d:\programme\setup-dateien\Adobe\acrobat pro v10.0.3\CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> No action taken.
d:\programme\setup-dateien\Adobe\acrobat pro v10.0.3\CORE\keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\programme\setup-dateien\Adobe\ACS5\core keygen\keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\programme\setup-dateien\Adobe\ACS5\x-force keygen - adobe_cs5_master_collecton_keygen_win_osx_includin g_color_finesse-xforce\crack.full\adobe-master-cs5-keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\programme\setup-dateien\cyberlink powerdvd\powerdvd 9\derzeitig\powerdvd 9.exe (Trojan.Dropper.PGen) -> No action taken.
d:\programme\setup-dateien\cyberlink powerdvd\powerdvd11 ultra\keygen.exe (Spyware.Passwords.Gen) -> No action taken.
d:\programme\setup-dateien\DivX\divxpro.7.2.0 v.10.3.4.17\divxpro.7.2.0 v 10.3.4.17-multilingual+serial+keygen\Keys\keygen(fff)\Keygen .exe (Trojan.Agent) -> No action taken.
d:\programme\setup-dateien\kaspersy internet security 2011\kaspersky 2011 anti blacklist crack\kaspersky.2011.anti.blacklist.crack.v1.4.onl y.read.nfo-nkd\k11crv14.exe (RiskWare.Tool.CK) -> No action taken.
d:\programme\setup-dateien\microsoft\microsoft project professional 2010\microsoft project professional 2010 x64 x86 vl\mini-kms_activator_v1.1.exe (Riskware.Keygen) -> No action taken.
d:\programme\setup-dateien\microsoft\microsoft visio premium 2010\microsoft visio premium 2010 x64 x86 volume license\mini-kms_activator_v1.053.exe (PUP.Hacktool.Office) -> No action taken.
d:\programme\setup-dateien\microsoft\Office\office 2010\microsoft office professional plus 2010 x64 german vl-edition\aktivierung\mini-kms_activator_v1.1_office.2010.vl.eng.exe (Riskware.Keygen) -> No action taken.
d:\programme\setup-dateien\microsoft\Office\office 2010\microsoft office professional plus.2010 x86 german vl-edition\aktivierung\mini-kms_activator_v1.052.exe (Riskware.Keygen) -> No action taken.
d:\programme\setup-dateien\quicktime pro 7.66.71.0\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\programme\setup-dateien\tuneup utilities\tuneup 2010\tuneup utilities 2010 v.9.0.3000.52 ( corefff )\key-generator\keygen.exe (RiskWare.Tool.HCK) -> No action taken.
d:\programme\setup-dateien\WinRar\winrar v.3.90 keygen\Keygen.exe (Trojan.Agent.CK) -> No action taken.
d:\programme\setup-dateien\WinRar\winrar v.3.93\winrar3.93 final x32-x64 -reg-aktiviert\keygen(fff)\Keygen.exe (RiskWare.Agent.CK) -> No action taken.
c:\Windows\Temp\ctfmon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Sollte ich wirklich alle Funde löschen? Einiges davon sind ja nur Keygens.

Edit

@ pablo.rodriguez

Zitat:

eventuell kam der Fehler weil am Schluß nicht wirklich ein Leerzeichen zwischen "Winupd" + exe ist.

Das Leerzeichen stimmt, wenn du auf den Link "1. Einträge markieren" bei meinen vorherigen Post gehst, siehst du das.

[Ghozz]

Die Keygens würde ich nicht löschen.

P.S.: Die Host-Datei für Adobe solltest du eingeben, damit der nicht selbständig zur Zentrale funkt.

[Turkleton]

Zitat:

Zitat von Ghozz

P.S.: Die Host-Datei für Adobe solltest du eingeben, damit der nicht selbständig zur Zentrale funkt.

Das hatte ich auch gemacht. Nur wurde die nach einem Neustart wieder gelöscht (siehe 1. Post)

Zitat:

Ich habe dann einfach eine Host-Datei, die beim Up von Adobe Acrobat Pro dabei war, in den etc-Ordner eingefügt.
Nach einem Neustart musste ich aber feststellen, dass die neue Host offenbar wieder von einem Trojaner befallen war. Zumindest wurde sie wieder von Kaspersky gelöscht.

Seitdem habe ich keine neue Host erstellt, weil ich warten wollte, bis der Trojanerbefall weg ist.
Sollte ich einfach nochmal versuchen, eine Host zu erstellen?

[ckjthedogmaster]

hey, sry für die späte Antwort.

Sag mal, wo hast du die Dateien her, die du in diesem

d:\programme\setup-dateien Ordner hast.

Bei der Anzahl an Keygens wundert mich ehrlich gesagt garnichts....

So, der infizierte Prozess ist Teil eines Cracks(Office 2010). Erstmalnichts beunruhigendes...

Ob alle Keygens sauber sind, wage ich jetzt mal zu bezweifeln.

Hast du die Systemwiederherstellung deaktiviert?

Weil die Datei c:\Users\Prof\AppData\Local\Temp\Winupd .exe ist immer noch da?

Deaktiviere die Systemwiederherstellung, starte einmal danach neu und gehe in dieses Verzeichnis. Dafür musst du in den Ordneroptionen die Ansicht auf "versteckte Dateien anzeigen " setzen.
Dann lösche diese Datei manuell.

Starte dann nochmal neu, und schau, ob die Datei sich wieder neu eingeschrieben hat.

Mfg

[Turkleton]

Zitat:

Zitat von ckjthedogmaster

hey, sry für die späte Antwort.

Kein Problem. Ich bin froh, dass du dir überhaupt die Zeit nimmst.

Die Systemwiederherstellung hatte ich deaktiviert. Siehe [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Zitat:

Hast du die Systemwiederherstellung deaktiviert?

Weil die Datei c:\Users\Prof\AppData\Local\Temp\Winupd .exe ist immer noch da?

Ich konnte ja folgenden Befehl nicht ausführen: del /f C:\Users\Prof\AppData\Local\Temp\Winupd .exe (siehe Post #7)
Kann das der Grund dafür sein?

Soll ich die infizierten Datein, die mir Malwarebytes anzeigt, jetzt alle löschen?
Ich hab das entsprechende [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] nämlich immer noch auf.

Zitat:

Bei der Anzahl an Keygens wundert mich ehrlich gesagt garnichts....

So, der infizierte Prozess ist Teil eines Cracks(Office 2010). Erstmalnichts beunruhigendes...

Hat sich im Laufe der Zeit angesammelt. Manche sind schon Jahre alt.
Und die Ursache für den Trojanerbefall ist ein Keygen?! Wieso kommt das dann erst jetzt?
Office 2010 z.B. hatte ich mir irgendwann letztes Jahr geladen.

Gruß Turkleton

[ckjthedogmaster]

hmmm,

das kann ich dir nicht sagen. Meine Vermutung, du hast mit irgendeiner Installation kurz vorher die Infektion eingefangen.

Eins kannst du noch machen, schaue bitte unter Ausführen und "msconfig" und Autostart nach auffälligen Dateien.
Die Datei Winupd .exe hast du vorhin zuerst mit Hijack gefixt. Möglich das sie danach nicht mehr da war, jedoch nach nem Neustart erneut auftaucht.
Der Reg. Eintrag ist jetzt z..b auch wieder da. Und das ist immo nicht gut.

Ich hatte dir noch ne PN geschrieben.


Mfg

[Turkleton]

Ich weiß zwar nicht, ob wir die selbe Definition von "auffällig" haben. Aber meiner Meinung nach scheint im Autostart alles sauber zu sein.

[ckjthedogmaster]

Autostart, etc waren jetzt gut. Mach dann nochmal n Scan und dann sehen wir weiter.

Auf jeden Fall solltest du mal [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] drüber laufen lassen, damit die temporären Dateien mal gelöscht werden.

Mfg

[Turkleton]

Hab die beiden Dateien entfernt, eine Host, die beim Up von Adobe Acrobat Pro dabei war, in den etc-Ordner kopiert, den PC neugestartet und einen Quick-Scan durchgeführt.
Hier die Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.51.0.1200
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Datenbank Version: 6817

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

09.06.2011 21:05:15
mbam-log-2011-06-09 (21-05-13).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 160177
Laufzeit: 4 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> 1744 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> No action taken.
c:\Windows\Temp\ctfmon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Und die Log von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:05:27, on 09.06.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\FreePDF_XP\fpassist.exe
D:\Programme\Programme\Nero\Nero 10\Nero BackItUp\NBAgent.exe
C:\Program Files (x86)\avmwlanstick\WLanGUI.exe
D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
D:\Programme\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
D:\Programme\Programme\Malwarebytes' Anti-Malware\mbam.exe
D:\Programme\Programme\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Programme\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Programme\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files (x86)\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.ex e" -launchedbylogin
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [NBAgent] "D:\Programme\Programme\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files (x86)\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [AVP] "D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "D:\Programme\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: An OneNote s&enden - res://D:\PROGRA~1\PROGRA~1\MICROS~1\Office14\ONBttnIE.dl l/105
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://D:\PROGRA~1\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O9 - Extra button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - D:\Programme\Programme\ICQ7.4\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - D:\Programme\Programme\ICQ7.4\ICQ.exe
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\PROGRA~1\KASPER~1\KASPER~1\sbhook.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stw rt64.inf_amd64_neutral_afc3018f8cfedd20\AESTSr64.e xe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files (x86)\avmwlanstick\WlanNetService.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - D:\Programme\Programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - D:\Programme\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @C:\Program Files (x86)\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files (x86)\Nero\Update\NASvc.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Acronis OS Selector Activator (OS Selector) - Unknown owner - D:\Programme\Programme\Acronis\DiskDirector\OSS\re install_svc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stw rt64.inf_amd64_neutral_afc3018f8cfedd20\STacSV64.e xe
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - D:\Programme\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10647 bytes

Die Host war nach dem Neustart immer noch im etc-Ordner und es kam auch keine Meldung von Kaspersky.
Weiß nicht ob es wichtig ist, aber nach dem Neustart hat mir Malwarebytes gesagt, dass die Testzeit abgelaufen ist.
Soll ich die Funde von Malwarebytes löschen?

Gruß Turkleton

[ckjthedogmaster]

wie gesagt, dann ruhig mal ccleaner laufen lassen und den Datenmüll entsorgen. Auf jeden Fall die temporären Dateien löschen damit.

Dann erstell eine neue Host Datei. Wenn nochmal Kaspersky anschlägt, dann lösche die Host nicht, damit man sich den Inhalt mal anschauen kann.

kmservice.exe ist wie gesagt ein teil eines Cracks, kann somit unbeachtet bleiben.

aber sonst sieht es ja gut aus.

Mfg

Edit: Und geh oben auf deinen ersten Beitrag und editiere ihn. (Lösche die Bilder) Die sind zu groß.

[Turkleton]

Ok, dann lass ich CCleaner durchlaufen, die Host-Datei ist ja schon erstellt und die Funde von Malwarebytes muss ich nicht löschen, soweit richtig?

Gruß Turkleton

Zitat:

Edit: Und geh oben auf deinen ersten Beitrag und editiere ihn. (Lösche die Bilder) Die sind zu groß.

Schon erledigt


PS:

Kann ich Malwarebytes eigentlich auf meinen PC drauflassen? Oder sollte ich es wegen Kaspersky wieder deinstallieren? (um mögliche Komplikationen zu vermeiden)


Bevor ich noch das Wichtigste vergesse

Vielen, vielen Dank für deine Unterstützung ckjthedogmaster!! Du hast mir wirklich sehr geholfen.
Ich finde es immer wieder toll, wenn sich Leute wie du die (nicht unerhebliche) Zeit nehmen, um anderen zu helfen.
Also nochmals vielen Dank.

[ckjthedogmaster]

Dafür nicht, die Temp- dateien löschste mit CCleaner .

Malwarebytes kannste drauflassen, und hin und wieder auch mal n Scan machen.

MFg

[Ghozz]

Hab da was für dich, was du gebrauchen könntest.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Edit

Der Link scheint nicht mehr aktuell zu sein. Gebe oben rechts (bei Suche) Malwarebytes ein, dann kommt eine große Auswahl, dann suchst du dir die Datei selber Raus.

Hier ein Link für Serials, kannst es auch an der installierten Software auch eingeben.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Turkleton]

Du kannst wohl Gedanken lesen

Genau das hatte ich heute noch vor...

Vielen Dank dafür

Gruß Turkleton