Virus ''$CTJTMP'' seit Januar!

wr2champ

New member
Hey,

habe grad durch einen Kontakt im ICQ erfahren, dass ''$CTJTMP'' ein Virus ist. Direkt nach der Formatierung war er aufn PC drauf und habe mir nichts bei gedacht. Bei Google finde ich nur Skandinavische Seiten oder wo welche von Begriffen sprechen die ich nicht alle einzeln nach gucken kann.
Was ist zu tun?

 
auf jeden fall mal nen antivrprogramm dürchlaufen lassen, danach lädst du dir HijackThis von www.hijackthis.de herunter und lässt dir ein Logfile erstellen, welches du dann hier postest.
lade dir auch malewarebytes herunter und mach damit nen Scann.


Wichtig ist, dass du vorher deine Daten sicherst, falls es probleme gibt.

gruß

buschi
 
Antivirensoftware installieren und alles reinigen lassen 😉

Mal gemerckt das in der Taskleiste Antivir ist 😵

Habe auch durchlaufen lassen, nie was gefunden.

Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:31, on 22.04.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FAMTBEE.EXE
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Automatisch Automatisch homeprint auf MARKUS auf HANS-DC791F15EB] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_SE.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Automatisch EPSON Stylus DX4000 Series auf LISA-PC] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S2E.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Automatisch EPSON Stylus DX4000 Series auf LISA-PC] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\DOKUME~1\XP\LOKALE~1\Temp\E_SB.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://C:\Programme\Risk\Images\stg_drm.ocx
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Programme\Risk\Images\armhelper.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe

--
End of file - 5714 bytes
 
Hat nicht jeder Deine Augen (und ich hab ehrlich gesagt besseres zu tun, als deine Screenshots, die das 4fache meines momentanen 10" Displays einnehmen nach irgendwas vielleicht hilfreichem abzuklappern)
Abgesicherter Modus, kennste? 🙂

Naja, HijackThis log in www.hijackthis.de/de reinwerfen. Wenn da nichts drin ist, kannst du den Ordner bedenkenlos löschen.
 
Zuletzt bearbeitet:
Bin der einzigste User, daher sollte ich im abgesicherten Modus sein, da ich auch Adminstrator bin. Bin aber nicht sicher.
 
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

diese Dateien mit HijackThis fixen, danach noch einen viren scann machen und nochmals malewarebytes dürchlaufen lassen, danach neu starten und malewarebytes nochmal laufen lassen, nun sollten alle viren weg sein.

gruß

buschi
 
sobald du hijackthis gestartet hast gibt das dir nen logfile, dass schliest du und dann machst du häckchen bei den einträgen, die ich dir gegeben habe und klickst unten auf fixen oder so.

Malewarebytes:
 
Ich öffne des und lande im MainMenu, da ist kein Log 😵
Dann probiere es noch mal. Das schaffen 1000nde Nutzer jeden Tag, du solltest es auch hinbekommen. Übung macht den Meister.

Zum Log: Da ist nichts gefährliches Dabei: Toolbars, ein ungültiger Verweis, sonst nichts. Was auch immer den ordner $CTJTMP erzeugt hat, jetzt ist es nicht aktiv, ud kannst den Ordner löschen.
 
zuerst öffnest du HijackThis, dann folgst du den Bildern. Zwischendurch einfach den Editor schließen.
natürlich auch die von mir geposteten häckchen markieren, dass im Bild ist nur ein Beispiel
 

Anhänge

  • Unbenannt1.jpg
    Unbenannt1.jpg
    61 KB · Aufrufe: 370
  • Unbenannt2.jpg
    Unbenannt2.jpg
    197,4 KB · Aufrufe: 370
Hab den Ordner mal gelöscht, ist der Ordner ''845c6f682fc72bbfd13df6260d'' schädlich? Der Name kommt mir so komisch vor. AMD64 und i368 sind dort als Unterordner.
 
nein scheint nicht schädlich zu sein.
schau außerdem mal ob deine firewall aktiv ist, da dein logfile nicht darauf hin deutet
 
Firewall ist bei mir immer aktiv. Habe im nachhinein gemerckt, dass der Ordner $CTJTMP Dateien von Fujitsu Siemens enthielt, nur Papierkorb ist jetz leer. Macht das was?
 

Online-Statistiken

Zurzeit aktive Mitglieder
1
Zurzeit aktive Gäste
32
Besucher gesamt
33

Beliebte Forum-Themen

Zurück
Oben Unten