Malware

Page 1 of 2

09/19/2011 19:00 Streckbank#1

Hi

Ich wollte mir mal per onlinebanking nen minecraft acc holen und davor wollt ich mal nen virusscan machen und das ist dabei rausgekommen:

Spoiler

Sind diese dateien sch�dlich??
was sind das f�r malware�s??

09/19/2011 19:24 nolo13#2

Malwares sind eig immer sach�dlich.

Entweder PC neu aufsetzen oder einfach l�schen.

09/19/2011 19:42 Streckbank#3

ist da denn eine art keylogger dabei der mir bankdaten oder �hnliches stielt??

09/19/2011 20:23 Diablo_#4

Quote:

Originally Posted by Streckbank

ist da denn eine art keylogger dabei der mir bankdaten oder �hnliches stielt??

Hi,

das ist eigentlich ziemlich egal was geklaut wird. Nat�rlich schmerzt ein verlorener E*Pvp Account nicht so, wie 1000€.

Wenn du etwas Genaues wissen willst, solltest du diese Dateie

c:\dokumente und einstellungen\�zeyir\lokale einstellungen\Temp\svchost.exe

bei Virustotal hochladen. Die Funde die Mbam ausgibt, kann man oft nur allgemein auswerten. Ich kann dir trotzdem sagen, dass du neu aufsetzen musst.

Es ist �brigens sehr sehr lobenswert, dass sich jemand vor einer solchen Transaktion (oder generell) um die Sicherheit k�mmert. Thumps up, sowas machen die Wenigsten.

Gr��e

09/19/2011 22:57 Streckbank#5

Quote:

Originally Posted by Diablo_

Hi,

das ist eigentlich ziemlich egal was geklaut wird. Nat�rlich schmerzt ein verlorener E*Pvp Account nicht so, wie 1000€.

Wenn du etwas Genaues wissen willst, solltest du diese Dateie

c:\dokumente und einstellungen\�zeyir\lokale einstellungen\Temp\svchost.exe

bei Virustotal hochladen. Die Funde die Mbam ausgibt, kann man oft nur allgemein auswerten. Ich kann dir trotzdem sagen, dass du neu aufsetzen musst.

Es ist �brigens sehr sehr lobenswert, dass sich jemand vor einer solchen Transaktion (oder generell) um die Sicherheit k�mmert. Thumps up, sowas machen die Wenigsten.

Gr��e

ich werd dann einfach in ein vertrautes i-net cafe gehen und dort dann bezahlen
[Only registered and activated users can see links. Click Here To Register...]

[Only registered and activated users can see links. Click Here To Register...]

Sieht wohl nicht so gut aus ^^
die dateien einfach l�schen w�rde nichts bringen oder??
dann werd ich einfach ein backup von allem machen und formatieren
obwohl dieser gsysloader istn hack f�r combatarms der immer verbindung zum gsys server hat h�ngt das damit zusammen??
also w�re es nicht sooo schlimm

09/19/2011 23:09 Diablo_#6

Quote:

Originally Posted by Streckbank

ich werd dann einfach in ein vertrautes i-net cafe gehen und dort dann bezahlen
[Only registered and activated users can see links. Click Here To Register...]

[Only registered and activated users can see links. Click Here To Register...]

Sieht wohl nicht so gut aus ^^
die dateien einfach l�schen w�rde nichts bringen oder??
dann werd ich einfach ein backup von allem machen und formatieren
obwohl dieser gsysloader istn hack f�r combatarms der immer verbindung zum gsys server hat h�ngt das damit zusammen??
also w�re es nicht sooo schlimm

Ich w�rde beide Funde als negativ einstufen. Woher hast du diese Svchost.exe? Den GordonSysLoader habe ich bewusst nicht aufgez�hlt, ich wei� was das ist.

Wovon willst du ein Backup machen? Von einem (vieleicht) verseuchtem System?

09/20/2011 11:31 Streckbank#7

Quote:

Originally Posted by Diablo_

Ich w�rde beide Funde als negativ einstufen. Woher hast du diese Svchost.exe? Den GordonSysLoader habe ich bewusst nicht aufgez�hlt, ich wei� was das ist.

Wovon willst du ein Backup machen? Von einem (vielleicht) verseuchtem System?

ne von den two and a half men serien die ich aufm pc hab :D
die sind immerhin 35gb gro� und neu laden will ich die nicht ^^
dann habe ich nochn paar bilder und textdokumente

und ich weis nicht woher ich die svchost.exe habe
ist mir nie aufgefallen
und als prozesse habe ich svchost 10 mal aufgelistet
als system 6 mal
lokaler dienst 2 mal
netzwerkdienst auch 2 mal
aber der benutzer selbst hat so ein prozess nicht
im systemstart ist die auch nicht wenn ich w�sste was genau diese exe ausf�hrt k�nnte ich sagen woher ich die habe
edit: achja und ist denn jetzt einer dieser 4 funde ein keylogger oder �hnliches??

09/20/2011 13:47 .Crash#8

Quote:

Originally Posted by Streckbank

ne von den two and a half men serien die ich aufm pc hab :D
die sind immerhin 35gb gro� und neu laden will ich die nicht ^^
dann habe ich nochn paar bilder und textdokumente

und ich weis nicht woher ich die svchost.exe habe
ist mir nie aufgefallen
und als prozesse habe ich svchost 10 mal aufgelistet
als system 6 mal
lokaler dienst 2 mal
netzwerkdienst auch 2 mal
aber der benutzer selbst hat so ein prozess nicht
im systemstart ist die auch nicht wenn ich w�sste was genau diese exe ausf�hrt k�nnte ich sagen woher ich die habe
edit: achja und ist denn jetzt einer dieser 4 funde ein keylogger oder �hnliches??

Ein Keylogger w�re noch ein weniger schlimmes �bel.

Ein Trojaner ist ein Backdoor Programm welches eine Direkte verbindung erm�glicht. Der Angreifer k�nnte deinen Desktop live anschauen deine Webcam aktivieren, nat�rlich auch deine Keylogs beziehen, aber auch alle auf deinem PC vorhandenen Daten anschauen und herunterladen.

Zu den INet Cafes: Das ist abzuraten diese sind mei�t schnell verseucht da du nunmal nie wei�t was die anderen an den PCs machen.

S�ubere dein System und mache es dann von zuhause aus.

Format und neuaufsetzen w�re zu empfehlen.

09/20/2011 16:08 Streckbank#9

Quote:

Originally Posted by .Crash

Ein Keylogger w�re noch ein weniger schlimmes �bel.

Ein Trojaner ist ein Backdoor Programm welches eine Direkte verbindung erm�glicht. Der Angreifer k�nnte deinen Desktop live anschauen deine Webcam aktivieren, nat�rlich auch deine Keylogs beziehen, aber auch alle auf deinem PC vorhandenen Daten anschauen und herunterladen.

Zu den INet Cafes: Das ist abzuraten diese sind mei�t schnell verseucht da du nunmal nie wei�t was die anderen an den PCs machen.

S�ubere dein System und mache es dann von zuhause aus.

Format und neuaufsetzen w�re zu empfehlen.

jaja klar ich weis was ein trojaner ist ;)
aber meist wenn sie zu alt sind und wenn der "hersteller" des trojaners den server gel�scht hat ist keine gefahr vorhanden ;)
und da ich nie etwas privates in irgendeine weise am pc preisgebe (nicht �ber facebook oder messengern) ist es mir relativ egal ob jemand meinen pc durchsucht. Es geht mir um meine bankdaten

und wie gesagt das inet cafe ist ziemlich sicher ^^
ich kenn die software auch welches benutzt wird also brauch ich mir da keine sorgen zu machen

09/20/2011 17:06 Diablo_#10

L�sche die Funde (ohne den GSysLoader wenn du willst) und poste danach einen HiJackThis Scan.

[Only registered and activated users can see links. Click Here To Register...]

Gr��e

09/20/2011 17:44 Streckbank#11

Quote:

Originally Posted by Diablo_

L�sche die Funde (ohne den GSysLoader wenn du willst) und poste danach einen HiJackThis Scan.

[Only registered and activated users can see links. Click Here To Register...]

Gr��e

Quote:

Originally Posted by Streckbank

Infizierte Dateien:
c:\system volume information\_restore{4d5398d4-7641-44f1-92ec-866458a9c9d6}\RP120\A0276050.exe (RiskWare.Tool.CK) -> No action taken.
c:\system volume information\_restore{4d5398d4-7641-44f1-92ec-866458a9c9d6}\RP119\A0274015.EXE (Dont.Steal.Our.Software) -> No action taken.
c:\system volume information\_restore{4d5398d4-7641-44f1-92ec-866458a9c9d6}\RP119\A0274016.exe (RiskWare.Tool.CK) -> No action taken.

beide gel�scht
an die komm ich ohne weiteres nicht ran und wahrscheinlich geh�ren sie auch zu einem hack
edit: okay bin drin^^
okay als beschreibung von der A0276050.exe steht KGTemplate MFC application*
A0274015.EXE keine beschreibung*
A0274016.EXE auch nicht*
* am selben tag und in der gleichen sekunde erstellt: 11.september ^^
edit und zu dieser zeit habe ich gelesen und davor im OT diskutiert
[Only registered and activated users can see links. Click Here To Register...]
diese gsysloader und svchost.exe wurden im mai am selben tag erstellt

Spoiler

Quote:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:43:06, on 20.09.2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21256)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\RunDLL32.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINXP\system32\rundll32.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\Programme\Messenger\msmsgs.exe
C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_E ngine.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\ATKKBService.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINXP\system32\HPZipm12.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\PnkBstrB.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\�zeyir\Eigene Dateien\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Only registered and activated users can see links. Click Here To Register...]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Only registered and activated users can see links. Click Here To Register...]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Only registered and activated users can see links. Click Here To Register...]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Only registered and activated users can see links. Click Here To Register...]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Only registered and activated users can see links. Click Here To Register...]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Only registered and activated users can see links. Click Here To Register...]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=gear&s={searchTerms}&f=4
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\HssIE\HssIE.dll (file missing)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINXP\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINXP\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINXP\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [ApnUpdater] "C:\Programme\Ask.com\Updater\Updater.exe"
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-220523388-1677128483-725345543-1004\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-220523388-1677128483-725345543-1004\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'UpdatusUser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\�zeyir\Anwendungsdaten\DVDVideoSoftI EHelpers\freeyoutubedownload.htm
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\�zeyir\Anwendungsdaten\DVDVideoSoftI EHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [Only registered and activated users can see links. Click Here To Register...]
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINXP\ATKKBService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINXP\system32\spool\drivers\w32x86\3\HPBOID.EX E
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe

--
End of file - 11046 bytes

09/20/2011 18:59 Diablo_#12

Du solltest die Funde auch mit Mbam l�schen. Am besten machst du den Scan nochmal (vollst�ndigen Scan) und l�schst dann die Funde.

Bei folgenden Eintr�gen setzt bitte einen Haken rein udn dr�ckst auf "Fix selected item":

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINXP\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINXP\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINXP\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

O4 - HKLM\..\Run: [ApnUpdater] "C:\Programme\Ask.com\Updater\Updater.exe"

O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll

Diese Eintr�ge fixed du bitte alle. Alle Skypeplugin.dll Eintr�ge sowie AskToolbar Eintr�ge l�schen. Am besten erst nach den Nummern suchen (04 zum Beispiel), so findest du die Sachen schneller. Danach startest du den PC neu und d�rftest erstmal eine bessere Systemleistung haben. Vorher bitte mit Mbam die Funde entfernen oder wenn du alles zusammen hast, kannst du die "Funde" auch manuell l�schen. Bitte wenn HiJackThis und die "Funde" weg sind, den PC neu starten.

Gr��e

09/20/2011 19:47 .Crash#13

O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

Das ist ein ASUS Addon ala Hypercam. Falls du das nutzt lass dass nat�rlich drauf ;) ansonsten l�schen.

Bei Hamachi und DaemonTools dasselbe ;)

09/20/2011 22:25 Streckbank#14

Quote:

Originally Posted by .Crash

O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

Das ist ein ASUS Addon ala Hypercam. Falls du das nutzt lass dass nat�rlich drauf ;) ansonsten l�schen.

Bei Hamachi und DaemonTools dasselbe ;)

genau das selbe habe ich ich auch gedacht als ich alles angekreuzt hab :D
was w�re mein pc ohne dt :D

okay danke
meinst du jetzt der PC ist clean??
keine viren oder trojaner??
edit: ich glaub ich werd ne virtuelle maschine draufhauen und nochn virenscan

09/21/2011 17:07 Diablo_#15

Quote:

Originally Posted by Streckbank

genau das selbe habe ich ich auch gedacht als ich alles angekreuzt hab :D
was w�re mein pc ohne dt :D

okay danke
meinst du jetzt der PC ist clean??
keine viren oder trojaner??
edit: ich glaub ich werd ne virtuelle maschine draufhauen und nochn virenscan

Durch den das Fixxen, werden die Dateien nicht gel�scht. Jedenfalls nicht bei den Autostarteintr�gen. Allerdings kannst du diese Eintr�ge per msconfig auch deaktivieren, um auf der sicheren Seite zu sein.

Mache jetzt einen erneuten HJT Scan, ich m�chte mich vergewissern, dass alles weg ist.

Page 1 of 2