HijackThis Auswertung

[Honduras]

Guten Abend Community!

Ich brauche mal wieder eure Hilfe!
Bei mir kam heute dieses Google Fenster, wie auch immer.
Ich habe das nachgeguckt und Google sperrt meine Suche weil zu Traffic oder ähnliches.
Aus diesem Grund habe ich mal eine HijackThis Auswertung gemacht.
Vielleicht könnt ihr aus den Log Files mehr schließen als ich.

HijackThis Log

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:56:48, on 26.01.2014
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.16428)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\avpui.exe
C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
D:\Treiber\Headset G930\G930.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe
D:\Programme\SpeedFan\speedfan.exe
C:\Users\+\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\+\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\+\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\+\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\+\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\+\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\+\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\+\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\klwtblfs.exe
C:\Users\+\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\+\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\+\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\+\AppData\Local\Temp\OCS\Downloads\fc14996dfa99adfc7baae624196888c5\7b4e384f5b096b9656fee276ba88bb81\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: ContentBlockerBrowserHelperObject - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\ContentBlocker\ie_content_blocker_plugin.dll
O2 - BHO: VirtualKeyboardBrowserHelperObject - {73455575-E40C-433C-9784-C78DC7761455} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O2 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\UrlAdvisor\klwtbbho.dll
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Logitech G930] D:\Treiber\Headset G930\G930.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Razer Synapse] "C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\PK\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\EXCELV~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Zu Anti-Banner hinzufügen - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\ie_banner_deny.htm
O9 - Extra button: Virtuelle Tastatur - {0C4CC089-D306-440D-9772-464E226F6539} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\EXCELV~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\EXCELV~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\EXCELV~1\Office12\REFIEBAR.DLL
O9 - Extra button: Link-Untersuchung - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\UrlAdvisor\klwtbbho.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: AODService - Unknown owner - D:\Programme\AMDOverdrive\AODAssist.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\avp.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: Razer Overlay Subsystem Emergency Service (RzOvlMon) - Razer, Inc. - C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9486 bytes

 

[violentviper]

Den IE kann man nicht ohne weiteres deinstallieren.

 

[Honduras]

Ich würde gerne mal wissen wie ich Internet Explorer komplett runterschmeißen kann.
Ich habe CCleaer benutzt und finde IE nicht einmal.

 

[Randy89]

[Anleitung] Erste H!lfe bei Malwareverdacht/-infektion - Vor dem Posten beachten!

 

[Honduras]

Symptome wie geschildert das mit Google.
AV = Kaspersky Internet Security 14 zeigt nix an, was aber nix bedeuten muss, das weis ich.
Ist der Link von FRST seriös oO?

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ ?

 

[chris12]

HJT ist für windows 7 nicht geeignet.
siehst du an den vielen unbekannten diensten.
die kennt HJT nicht, ist also nicht aussagekräftig.

 

[Randy89]

Ja, sonst würde es doch nicht hier in der FAQ stehen. Für die Auswertung würde ich dir noch zusätzlich empfehlen, dem Ersteller des Themas (emlyn d.) per PM bescheid zu geben, denn der ist so ziemlich der einzige in diesem Forum, der solche Logs vollständig auswerten kann.

edit: Du solltest dir außerdem den Guide richtig durchlesen:

Die 64-bit-Version bitte hier http://download.bleepingcomputer.com/farbar/FRST64.exe auf den Desktop herunterladen, die für 32-bit-Systeme hier http://download.bleepingcomputer.com/farbar/FRST.exe.

, d.h. du brauchst für ein 64-Bit-Windows die 64-Bit Version von FRST. Nicht, dass du dich noch wegen möglichen Fehlermeldungen wunderst.

 

[Honduras]

Ich kann ja nicht verlangen das sich jemand damit wirklich viel auseinander setzt.
Aber mal kurz paar Tipps geben wie z,b du Randy.

Hört sich blöd an aber ich möchte mit wenig Aufwand herausfinden ob ich das System wieder neu aufsetzten muss oder nicht.

Also ich werde mal FRST laden und hier anhängen Moment.

 

[Randy89]

Vergiss nicht, beide Text-Dateien (FRST.txt und Addition.txt) anzuhängen und ggf. vorher noch die Namen mit Strg+H zu ersetzen, wie es auch schon in der Anleitung steht.
Und für die Auswertungen ist wie gesagt, emlyn d. hier im Forum zuständig.

 

[Wert33]

ie kann man nicht runterwerfen

auch wenn du diesen nicht verwendest , bitte immer auf dem neusten stand halten

 

[Honduras]

So, jup danke nochmal für die Info Randy, habe nun den wie in dem ersten Log nicht herausgelöscht mit + ersetzt.

Was mich bisschen stört ist das ich halt echt alles was ich geladen oder getan habe hier aufliste .

Ohje wusst ich auch nicht mit IE, das er trotz keiner Verwendung auf dem neuesten Stand zu halten ist.

 

[emlyn d.]

Hallo,
ich gehe erst einmal nicht von einem Malware-Problem aus.

Kleine Anmerkung:
Wenn Du schon etwas von Chip herunterlädst, dann bitte nicht mit dem Downloader.
Generell sollte man versuchen, die Programme direkt vom Hersteller zu bekommen.

Bitte einen MBAM(http://downloads.malwarebytes.org/mbam-download-exe.php, Testphase für die Vollversion abwählen & updaten)-Bericht posten/anhängen.

Danach http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner herunterladen, als Admin ausführen, auf löschen klicken und bestätigen.
Nach dem Neustart das Log posten/anhängen.

Als letztes http://thisisudax.org/downloads/JRT.exe herunterladen und als Admin ausführen.
Wenn das Programm durch ist, wird eine JRT.txt erzeugt.
Diese bitte posten/anhängen.