Malware

[Streckbank]

Hi

Ich wollte mir mal per onlinebanking nen minecraft acc holen und davor wollt ich mal nen virusscan machen und das ist dabei rausgekommen:

 Spoiler

Malwarebytes' Anti-Malware 1.51.2.1300


Datenbank Version: 7748

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

19.09.2011 18:48:29
mbam-log-2011-09-19 (18-48-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 243379
Laufzeit: 1 Stunde(n), 21 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Üzeyir\lokale einstellungen\Temp\gsysloader.exe (Trojan.Agent.H) -> No action taken.
c:\dokumente und einstellungen\Üzeyir\lokale einstellungen\Temp\svchost.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{4d5398d4-7641-44f1-92ec-866458a9c9d6}\RP120\A0276050.exe (RiskWare.Tool.CK) -> No action taken.
c:\system volume information\_restore{4d5398d4-7641-44f1-92ec-866458a9c9d6}\RP119\A0274015.EXE (Dont.Steal.Our.Software) -> No action taken.
c:\system volume information\_restore{4d5398d4-7641-44f1-92ec-866458a9c9d6}\RP119\A0274016.exe (RiskWare.Tool.CK) -> No action taken.

Sind diese dateien schädlich??
was sind das für malware´s??

[nolo13]

Malwares sind eig immer sachädlich.

Entweder PC neu aufsetzen oder einfach löschen.

[Streckbank]

ist da denn eine art keylogger dabei der mir bankdaten oder ähnliches stielt??

[Diablo_]

Quote:

Originally Posted by Streckbank

ist da denn eine art keylogger dabei der mir bankdaten oder ähnliches stielt??

Hi,

das ist eigentlich ziemlich egal was geklaut wird. Natürlich schmerzt ein verlorener E*Pvp Account nicht so, wie 1000€.

Wenn du etwas Genaues wissen willst, solltest du diese Dateie

c:\dokumente und einstellungen\Üzeyir\lokale einstellungen\Temp\svchost.exe

bei Virustotal hochladen. Die Funde die Mbam ausgibt, kann man oft nur allgemein auswerten. Ich kann dir trotzdem sagen, dass du neu aufsetzen musst.

Es ist übrigens sehr sehr lobenswert, dass sich jemand vor einer solchen Transaktion (oder generell) um die Sicherheit kümmert. Thumps up, sowas machen die Wenigsten.

Grüße

[Streckbank]

Quote:

Originally Posted by Diablo_

Hi,

das ist eigentlich ziemlich egal was geklaut wird. Natürlich schmerzt ein verlorener E*Pvp Account nicht so, wie 1000€.

Wenn du etwas Genaues wissen willst, solltest du diese Dateie

c:\dokumente und einstellungen\Üzeyir\lokale einstellungen\Temp\svchost.exe

bei Virustotal hochladen. Die Funde die Mbam ausgibt, kann man oft nur allgemein auswerten. Ich kann dir trotzdem sagen, dass du neu aufsetzen musst.

Es ist übrigens sehr sehr lobenswert, dass sich jemand vor einer solchen Transaktion (oder generell) um die Sicherheit kümmert. Thumps up, sowas machen die Wenigsten.

Grüße

ich werd dann einfach in ein vertrautes i-net cafe gehen und dort dann bezahlen




Sieht wohl nicht so gut aus ^^
die dateien einfach löschen würde nichts bringen oder??
dann werd ich einfach ein backup von allem machen und formatieren
obwohl dieser gsysloader istn hack für combatarms der immer verbindung zum gsys server hat hängt das damit zusammen??
also wäre es nicht sooo schlimm

[Diablo_]

Quote:

Originally Posted by Streckbank

ich werd dann einfach in ein vertrautes i-net cafe gehen und dort dann bezahlen




Sieht wohl nicht so gut aus ^^
die dateien einfach löschen würde nichts bringen oder??
dann werd ich einfach ein backup von allem machen und formatieren
obwohl dieser gsysloader istn hack für combatarms der immer verbindung zum gsys server hat hängt das damit zusammen??
also wäre es nicht sooo schlimm

Ich würde beide Funde als negativ einstufen. Woher hast du diese Svchost.exe? Den GordonSysLoader habe ich bewusst nicht aufgezählt, ich weiß was das ist.

Wovon willst du ein Backup machen? Von einem (vieleicht) verseuchtem System?

[Streckbank]

Quote:

Originally Posted by Diablo_

Ich würde beide Funde als negativ einstufen. Woher hast du diese Svchost.exe? Den GordonSysLoader habe ich bewusst nicht aufgezählt, ich weiß was das ist.

Wovon willst du ein Backup machen? Von einem (vielleicht) verseuchtem System?

ne von den two and a half men serien die ich aufm pc hab
die sind immerhin 35gb groß und neu laden will ich die nicht ^^
dann habe ich nochn paar bilder und textdokumente

und ich weis nicht woher ich die svchost.exe habe
ist mir nie aufgefallen
und als prozesse habe ich svchost 10 mal aufgelistet
als system 6 mal
lokaler dienst 2 mal
netzwerkdienst auch 2 mal
aber der benutzer selbst hat so ein prozess nicht
im systemstart ist die auch nicht wenn ich wüsste was genau diese exe ausführt könnte ich sagen woher ich die habe
edit: achja und ist denn jetzt einer dieser 4 funde ein keylogger oder ähnliches??

[.Crash]

Quote:

Originally Posted by Streckbank

ne von den two and a half men serien die ich aufm pc hab
die sind immerhin 35gb groß und neu laden will ich die nicht ^^
dann habe ich nochn paar bilder und textdokumente

und ich weis nicht woher ich die svchost.exe habe
ist mir nie aufgefallen
und als prozesse habe ich svchost 10 mal aufgelistet
als system 6 mal
lokaler dienst 2 mal
netzwerkdienst auch 2 mal
aber der benutzer selbst hat so ein prozess nicht
im systemstart ist die auch nicht wenn ich wüsste was genau diese exe ausführt könnte ich sagen woher ich die habe
edit: achja und ist denn jetzt einer dieser 4 funde ein keylogger oder ähnliches??

Ein Keylogger wäre noch ein weniger schlimmes übel.

Ein Trojaner ist ein Backdoor Programm welches eine Direkte verbindung ermöglicht. Der Angreifer könnte deinen Desktop live anschauen deine Webcam aktivieren, natürlich auch deine Keylogs beziehen, aber auch alle auf deinem PC vorhandenen Daten anschauen und herunterladen.

Zu den INet Cafes: Das ist abzuraten diese sind meißt schnell verseucht da du nunmal nie weißt was die anderen an den PCs machen.

Säubere dein System und mache es dann von zuhause aus.

Format und neuaufsetzen wäre zu empfehlen.

[Streckbank]

Quote:

Originally Posted by .Crash

Ein Keylogger wäre noch ein weniger schlimmes übel.

Ein Trojaner ist ein Backdoor Programm welches eine Direkte verbindung ermöglicht. Der Angreifer könnte deinen Desktop live anschauen deine Webcam aktivieren, natürlich auch deine Keylogs beziehen, aber auch alle auf deinem PC vorhandenen Daten anschauen und herunterladen.

Zu den INet Cafes: Das ist abzuraten diese sind meißt schnell verseucht da du nunmal nie weißt was die anderen an den PCs machen.

Säubere dein System und mache es dann von zuhause aus.

Format und neuaufsetzen wäre zu empfehlen.

jaja klar ich weis was ein trojaner ist
aber meist wenn sie zu alt sind und wenn der "hersteller" des trojaners den server gelöscht hat ist keine gefahr vorhanden
und da ich nie etwas privates in irgendeine weise am pc preisgebe (nicht über facebook oder messengern) ist es mir relativ egal ob jemand meinen pc durchsucht. Es geht mir um meine bankdaten

und wie gesagt das inet cafe ist ziemlich sicher ^^
ich kenn die software auch welches benutzt wird also brauch ich mir da keine sorgen zu machen

[Diablo_]

Lösche die Funde (ohne den GSysLoader wenn du willst) und poste danach einen HiJackThis Scan.



Grüße

[Streckbank]

Quote:

Originally Posted by Diablo_

Lösche die Funde (ohne den GSysLoader wenn du willst) und poste danach einen HiJackThis Scan.



Grüße

Quote:

Originally Posted by Streckbank

Infizierte Dateien:
c:\system volume information\_restore{4d5398d4-7641-44f1-92ec-866458a9c9d6}\RP120\A0276050.exe (RiskWare.Tool.CK) -> No action taken.
c:\system volume information\_restore{4d5398d4-7641-44f1-92ec-866458a9c9d6}\RP119\A0274015.EXE (Dont.Steal.Our.Software) -> No action taken.
c:\system volume information\_restore{4d5398d4-7641-44f1-92ec-866458a9c9d6}\RP119\A0274016.exe (RiskWare.Tool.CK) -> No action taken.

beide gelöscht
an die komm ich ohne weiteres nicht ran und wahrscheinlich gehören sie auch zu einem hack
edit: okay bin drin^^
okay als beschreibung von der A0276050.exe steht KGTemplate MFC application*
A0274015.EXE keine beschreibung*
A0274016.EXE auch nicht*
* am selben tag und in der gleichen sekunde erstellt: 11.september ^^
edit und zu dieser zeit habe ich gelesen und davor im OT diskutiert

diese gsysloader und svchost.exe wurden im mai am selben tag erstellt

 Spoiler

Quote:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:43:06, on 20.09.2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21256)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\RunDLL32.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINXP\system32\rundll32.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\Programme\Messenger\msmsgs.exe
C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_E ngine.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\ATKKBService.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINXP\system32\HPZipm12.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\PnkBstrB.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Üzeyir\Eigene Dateien\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=gear&s={searchTerms}&f=4
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\HssIE\HssIE.dll (file missing)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINXP\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINXP\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINXP\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [ApnUpdater] "C:\Programme\Ask.com\Updater\Updater.exe"
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-220523388-1677128483-725345543-1004\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-220523388-1677128483-725345543-1004\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'UpdatusUser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\Üzeyir\Anwendungsdaten\DVDVideoSoftI EHelpers\freeyoutubedownload.htm
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Üzeyir\Anwendungsdaten\DVDVideoSoftI EHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINXP\ATKKBService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINXP\system32\spool\drivers\w32x86\3\HPBOID.EX E
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe

--
End of file - 11046 bytes

[Diablo_]

Du solltest die Funde auch mit Mbam löschen. Am besten machst du den Scan nochmal (vollständigen Scan) und löschst dann die Funde.

Bei folgenden Einträgen setzt bitte einen Haken rein udn drückst auf "Fix selected item":


O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINXP\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINXP\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINXP\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

O4 - HKLM\..\Run: [ApnUpdater] "C:\Programme\Ask.com\Updater\Updater.exe"

O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe


O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll


Diese Einträge fixed du bitte alle. Alle Skypeplugin.dll Einträge sowie AskToolbar Einträge löschen. Am besten erst nach den Nummern suchen (04 zum Beispiel), so findest du die Sachen schneller. Danach startest du den PC neu und dürftest erstmal eine bessere Systemleistung haben. Vorher bitte mit Mbam die Funde entfernen oder wenn du alles zusammen hast, kannst du die "Funde" auch manuell löschen. Bitte wenn HiJackThis und die "Funde" weg sind, den PC neu starten.

Grüße

[.Crash]

O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

Das ist ein ASUS Addon ala Hypercam. Falls du das nutzt lass dass natürlich drauf ansonsten löschen.

Bei Hamachi und DaemonTools dasselbe

[Streckbank]

Quote:

Originally Posted by .Crash

O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

Das ist ein ASUS Addon ala Hypercam. Falls du das nutzt lass dass natürlich drauf ansonsten löschen.

Bei Hamachi und DaemonTools dasselbe

genau das selbe habe ich ich auch gedacht als ich alles angekreuzt hab
was wäre mein pc ohne dt

okay danke
meinst du jetzt der PC ist clean??
keine viren oder trojaner??
edit: ich glaub ich werd ne virtuelle maschine draufhauen und nochn virenscan

[Diablo_]

Quote:

Originally Posted by Streckbank

genau das selbe habe ich ich auch gedacht als ich alles angekreuzt hab
was wäre mein pc ohne dt

okay danke
meinst du jetzt der PC ist clean??
keine viren oder trojaner??
edit: ich glaub ich werd ne virtuelle maschine draufhauen und nochn virenscan

Durch den das Fixxen, werden die Dateien nicht gelöscht. Jedenfalls nicht bei den Autostarteinträgen. Allerdings kannst du diese Einträge per msconfig auch deaktivieren, um auf der sicheren Seite zu sein.

Mache jetzt einen erneuten HJT Scan, ich möchte mich vergewissern, dass alles weg ist.