HiJack oder wie auch immer

#1 Hallo , mein Rechner läuft irgendwie komisch und ich habe nun schon oft von diesem Hi jack gehört. Kann mir mal jemand helfen und auswerten dabei. Wie geht das usw. Bitte um Hilfe.

#2 Du musst schon selbst erstmal was tun dass dir überhaupt jemand helfen kann !

http://board.protecus.de/t12578.htm abarbeiten und logs posten !
__________
Mein Leben verläuft streng nach Murphys Gesetz

#3 Ich habe mein Kaspersky laufen lassen.Das bricht immer zwischen 45- 51 % ab, aber ohne Fund.(Nur wie siche rist das alles)

Dann hört eich vom Conficker, also hab ich mir Doctor Spyware geholt, dass hat viele Infektionen gefunden, nur um sie zu beseitigen muss man das kaufen,da weiß ich auch nicht weiter. Der Rechne rist extrem langsam geworden.Ob hoch ode rrunter fahren und so beim arbeiten. Hie rmal diese Hijack file: (falls es richtig ist)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:25:52, on 16.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
E:\WINDOWS\system32\IoctlSvc.exe
E:\WINDOWS\system32\HPZipm12.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\TUProgSt.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\WINDOWS\AGRSMMSG.exe
E:\WINDOWS\Dit.exe
E:\WINDOWS\system32\RunDll32.exe
E:\WINDOWS\vsnpstd3.exe
E:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\LevelOne WNC-0301USB\RtWLan.exe
E:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\Programme\Mozilla Firefox\firefox.exe
D:\Software\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVP] "E:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATICCC] "E:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [snpstd3] E:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [LexwareInfoService] E:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1238873339556
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1238932538765
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DA5BDD4-3EF5-4B34-8C07-EF401934F7E6}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,E:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,E:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,E:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - E:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - E:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - E:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - E:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - E:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6782 bytes

#4 Hi heißt das teil Doctor Spyware oder Spyware Doctor ?
Dass sieht mir eher nach einem Fake Progi aus !!! (Ich kenn das zumindest nicht )

Auf Conficker überprüfst du besser so :
http://board.protecus.de/t36640.htm?highlight=conficker

http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

Was ist mit den anderen Sachen von hier http://board.protecus.de/t12578.htm

Die solltest du auch abarbeiten und posten !
__________
Mein Leben verläuft streng nach Murphys Gesetz

#5 Hallo ihr Lieben,

ich hatte vor einiger Zeit schon einmal eure Hilfe in Anspruch genommen, und das war einfach spitze, da konnte ich mit eurem schnellen Rat meinen PC retten, der einen Trojaner hatte.

Jetzt gibt es ein bisher eher harmloses Problem. Im MSN Messenger werden angeblich vom Benutzerkonto meiner Freundin aus desöfteren merkwürdige Nachrichten verschickt an diverse Leute aus ihrer Kontaktliste. Was ist das, Spyware? Und wie kann ich das finden und vom PC wieder entfernen? Ich habe schon zwei vollständige System-Scans gemacht, und es wurde bisher nichts gefunden.

Danke euch schon einmal!

Anne

#6 Hi,
Erstelle doch bitte einen neuen thread und abeite das http://board.protecus.de/t12578.htm ab ( alle logs posten )!

Ist besser für die Übersichtlichkeit ! Danke
__________
Mein Leben verläuft streng nach Murphys Gesetz

#7 Habe es schon abgearbeitet.Mein Kaspersky bleibt wieder in der mitte hängen aber bis dato ohne Fund. Der Online Scanner ActiveScan zeigt mir 5 Infekte und eine verdächtige Datei. um dies zu löschen muss ich das kaufen für 12.95€ Ob es nur ein Trick ist um geld zu machen weiß ich nicht.
Also wa soll ich sonst tun um rauszufinden ob ich clean bin oder ob hie rmit dem Rechner alles stimmt. Du sagst ja nichts zu der Hijack Post.


Grüße

#8 Dein HJ Log sieht sauber aus! Mbam und Combofix haben nichts gefunden ? Poste doch bitte die Log´s !
ActiveScan von Panda ? probiers mal mit einem von hier http://virus-protect.org/onlinescan.html! F-Secure und Trend Micro sind definitiv kostenlos !!!

Wenn er nur langsam hoch fährt und im allgemeinen langsam ist muss dass nicht gleich ein Virus oder trojaner sein !

Schon defragmentiert? Mit CCleaner Temp-Dateien und Registry gesäubert ?
Autostart mal aufgeräumt?

Wenn Kaspersky hängen bleibt mal mit neu installieren versucht ?
__________
Mein Leben verläuft streng nach Murphys Gesetz

#9 Hallo,

ich habe mit einer neuen Antiviren Software einen Trojaner gefunden, der so hartnäckig ist, dass ich ihn bisher nicht löschen konnte, obwohl ich ihn aus der Virenquarantäne entfernt und auch über die Systemordner versucht habe ausfindig zu machen. Könnt ihr mir helfen, ihn tatsächlich zu löschen?

Es geht um folgenden, das zeigt das Scan Protokoll:

C:\Dokumente..... \mimco.dat

Der Trojaner heißt : NaviPromo.AA und der oben genannte Pfad, der im Scanprotokoll steht, ist so aber nicht nachvollziehbar, d.h es gibt im Ordner "XY" keinen Unterordner oder Dateinamen mit dem folgend genannten Namen.

Soviel erst einmal.

Gruß, A.

#10 Bitte neuen Thread aufmachen und das hier abarbeiten http://board.protecus.de/t23188.htm

Welcher AV hat den Virus erkannt?
__________
Mein Leben verläuft streng nach Murphys Gesetz