Trojaner TR/ATRAPS.Gen

[Marcel121]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:56:07, on 30.01.2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\CursorXP\CursorXP.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\HiJa ckThis204.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Ansehen ?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Ansehen ?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Ansehen ?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Ansehen ?
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Ansehen ?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Micros oft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Micros oft\Internet Explorer\qipsearchbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309 .3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razertra] d:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [userMobileusb] rundll32.exe "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\CatDBnet90\userMobil eusb.dll",usrGLclass DirectCommonLite
O4 - HKCU\..\Run: [CursorXP] D:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVid eoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - Ansehen ? (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - Ansehen ? (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.line6.net
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://C:\Programme\Monopoly\Images\stg_drm.ocx
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - Ansehen ?
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - Ansehen ?
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - Ansehen ?
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - Ansehen ?
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - Ansehen ?
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Programme\Monopoly\Images\armhelper.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - Ansehen ?
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - Ansehen ?
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8020 bytes

[moralConduct]

O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Micros oft\Internet Explorer\qipsearchbar.dll

genau das richtige um sich dreck einzufangen Ansehen ?

[robert234]

Noch nicht mal das aktuelle ServicePack ist installiert, Marcel Marcel ...

[Lucifer]

damit solltest du eher in ein Anti-Virus Board Ansehen ? Die wenigsten werden wohl was mit einem HiJackThis Log anfangen können. Bonjour? Lernst du französisch? :P

[Marcel121]

Ja, da sind Sachen, die ich mal vor 3-4 Jahren auf dem Rechner hatte. Ansehen ?

[Marcel121]

C:/Dokumente und Einstellungen/Administrator/Lokale Einstellungen/Anwendungsdaten/CatDBnet90/userMobileusb.dll

[robert234]

Versuche das im abgesicherten Modus zu finden und zu löschen.

[Marcel121]

Unter "Administrator" gibt es kein Ordner "Lokale Einstellungen".

[robert234]

Dann lasse nochmal HijackThis scannen, und gehe dann dort im Logfile auf den betreffenden Eintrag, markiere den und versuche ihn zu löschen (fixen).

[Marcel121]

Okay, habe ich.

[robert234]

Das wirst Du in den nächsten Tagen ja merken. Ansehen ?

[Marcel121]

AntiVir meldet sich doch wieder...

[MasterB]

Wenn es ein Trojaner ist, dann würde ich einfach alle wichtigen Dateien sichern und das System neu aufsetzen. Die Arbeit lohnt sich nicht, den Trojaner zu entfernen. Zudem hat er wenn du Online bist vollen Zugriff auf deinen PC.

[robert234]

Auch wenn es nervig ist, aber unter diesen Umständen ist MasterB's Rat der wohl beste. Bei dieser Gelegenheit erhältst Du einen schnelleren PC, weil viel Datenmüll verschwindet. Dann solltest Du auch das aktuelle Servicepack installieren, wenn ich mich nicht irre, gibt es nämlich seit längerem schon das SP4 und Hunderte Updates für Windows.

Als Geheimtip würde ich mir das Programm DriveImage 7 für XP besorgen, das sollte bei eBay inzwischen recht günstig zu haben sein. Damit kannst Du Dir ein Backup von der Systempartition (und auch allen anderen) machen, und bei künftiger Malware C: einfach mit dem Backup überschreiben. Das ist eine Sache weniger Minuten, wo Du nen Shake trinken kannst. Meine PC habe ich zusätzlich mit AdAware Professional gesichert, diese Kauf-Software sichert die Windows Registry vor unerlaubten Einträgen neuer Programme. Seit ich die drauf habe, das sind jetzt vllt. 8 Jahre, habe ich keine Probleme mehr gehabt.

[MagicDave]

damit solltest du eher in ein Anti-Virus Board Ansehen ? Die wenigsten werden wohl was mit einem HiJackThis Log anfangen können. Bonjour? Lernst du französisch? :P

Bonjour ist ein Protokoll von Apple, wird installiert sobald mal ein IPhone oder IPod angesteckt wurde, bzw ITunes installiert wurde.
Weiters gibt es einen Ordner Lokale Einstellungen im Administratoren Profil, nur wird dieser als Versteckt bzw Hidden angezeigt, kannst in den Ordnereinstellungen, "Versteckte Ordner und Dateien anzeigen" auswählen und schon siehst du ihn.

Neuinstallation ist fast immer von Vorteil, und die Updates von Microsoft wären auch nicht blöd Ansehen ?