Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verwundert, oder so ...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.03.2006, 21:19   #1
November
 
Verwundert, oder so ... - Standard

Verwundert, oder so ...



Erstmal Holla miteinander


Also, es ist nicht so das sich mein Rechner übermässig komisch verhält, ISDN ist so oder so lahm *g* Eventuell höheres Aufkommen an Spam-Mail, aber das könnte ja auch an "bei irgendwelchen Foren registriert" liegen.

Aber während ich sorglos im Windows Explorer auf meinen Laufwerken rumklickte, fielen mir auf C: (reine Systempartition) 2 gar dubiose Dateien auf die ich bis dato noch gar nicht auf C: rumbummeln sah. Diese wären:
EIED_.htm
eied_s7_c_123.exe

Die .exe umbenannt und mal in die .htm geschaut, welche wohl per JavaScript das Fenster verschieben und per ActiveX die .exe ausführen wollen würde.

AVG hat das auch nach erneutem scannen nicht stutzig gemacht. Misstrauischerweise landete ich dann gestern hier und hab mal die ein oder anderen Tests gemacht.


Dieser jotti-OnlineScan warf folgendes aus:
Datei: fuck_eied_s7_c_123.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir Trojan/Dldr.Agen.nv.4.B gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.cjs gefunden
NOD32 a variant of Win32/TrojanDownloader.Mediket gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan-Downloader.Win32.Small.cjs gefunden


Also mal den Trojan Remover mit der aktuellsten Database drüberlaufen gelassen ... aber der war völlig zufrieden mit sich und der Welt und fand nüschts. Gut, nächster ... HijackThis drüber, mit folgendem Resultat:

Logfile of HijackThis v1.99.1
Scan saved at 21:58:55, on 27.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600) (jaja, out of date )
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Proggis\AVGFRE~1\avgamsvr.exe
d:\Proggis\AVGFRE~1\avgupsvc.exe
D:\proggis\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\proggis\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
D:\proggis\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\rundll32.exe
D:\Proggis\AVGFRE~1\avgcc.exe
D:\Proggis\AVGFRE~1\avgemc.exe
C:\WINDOWS\anvshell.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Proggis\FireFox\firefox.exe
D:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVG7_CC] d:\Proggis\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] d:\Proggis\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [TrojanScanner] d:\Proggis\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Proggis\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Proggis\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Proggis\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Proggis\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Proggis\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Proggis\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Proggis\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{42057A74-9560-4A19-B858-3370DFD3BE6C}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\Proggis\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\Proggis\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\proggis\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Mein ungeschultes Auge sieht da so spontan nix und BlackLight findet auch keine versteckten Prozesse. Wobei, was ist das für'n Radio in der Toolbar @ O3?


Zu guter Letzt eScan im abgesicherten Modus, mit folgendem Resultat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Mar 26 20:31:41 2006 => System found infected with hotbar Spyware/Adware (games.lnk)! Action taken: No Action Taken.
Sun Mar 26 20:51:50 2006 => Total Disinfected Objects: 0
Sun Mar 26 20:54:48 2006 => File C:\_muh\fuck_eied_s7_c_123.exe infected by "Trojan-Downloader.Win32.Small.cjs" Virus! Action Taken: No Action Taken.
Sun Mar 26 20:54:49 2006 => Total Disinfected Objects: 0
Sun Mar 26 21:21:48 2006 => Total Disinfected Objects: 0
Sun Mar 26 21:28:20 2006 => System found infected with hotbar Spyware/Adware (games.lnk)! Action taken: No Action Taken.
Sun Mar 26 22:25:10 2006 => File C:\_muh\fuck_eied_s7_c_123.exe infected by "Trojan-Downloader.Win32.Small.cjs" Virus! Action Taken: No Action Taken.
Mon Mar 27 01:23:03 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
hier war nur fehlalarm
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

games.lnk stört wohl nur der Name, und die .exe da ließ sich auch problemlos entfernen soweit. Aber irgendwie muss die ja nun auf die Platte gekommen sein und man sollte meinen das sie sich dann auch im selben Atemzug ausführt und das System infiziert ... hab ich irgendwas übersehen oder gibts noch was zu testen?


Grüße,
November

Alt 28.03.2006, 17:57   #2
November
 
Verwundert, oder so ... - Standard

Verwundert, oder so ...



Mh, keine Antwort = gut?

Aber btw. dieser RootkitRevealer fand jenes hier:
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 23.11.2005 09:25 0 bytes Hidden from Windows API.

Daemon Tools? Hidden? Tz, gehört das so?

Grüßle
__________________


Antwort

Themen zu Verwundert, oder so ...
100%, abgesicherten modus, alert, antivirus, defender, dll, drivers, entfernen, excel, explorer, firefox, firewall, hijack, hijackthis, infected, internet, internet explorer, keine viren, launch, letzt, nvidia, rundll, scan, software, spam-mail, tan, viren, windows, windows xp



Ähnliche Themen: Verwundert, oder so ...


  1. viren befall ?? oder malware oder unerwuenschte software ?? oder ....
    Plagegeister aller Art und deren Bekämpfung - 20.05.2015 (6)
  2. Unsicher ob GVU-Trojaner (oder ähnliches) noch auf dem Rechner ist oder ob dieser entfernt wurde.
    Mülltonne - 29.01.2015 (0)
  3. Spam-Trojaner oder Mailkontenmissbrauch oder keins von beiden?
    Plagegeister aller Art und deren Bekämpfung - 16.05.2014 (18)
  4. Im Firefox ständig Werbemeldungen oder Hinweise zu Performance oder Spyware
    Log-Analyse und Auswertung - 14.01.2014 (17)
  5. Malware oder Viren oder Trojaner Schutz..Begriffverwirrung
    Antiviren-, Firewall- und andere Schutzprogramme - 12.07.2012 (1)
  6. Antivir zeigt dauernd: TR/Spy.Farko.lw oder TR/Rogue.kdv.651759 oder TR/Spy.Agent.ccfd usw.
    Log-Analyse und Auswertung - 08.07.2012 (1)
  7. EXP\JAVA.NIABIL.GEN Exploit oder Trojaner oder beides - Lösung ?
    Log-Analyse und Auswertung - 29.02.2012 (1)
  8. click.GiftLoad oder TR/Crypt.XPACK.Gen2 oder Rootkit.TDSS.Gen ?
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (3)
  9. Virus oder Trojaner? Browser reagieren nicht oder verzögert.
    Log-Analyse und Auswertung - 20.10.2010 (26)
  10. Habe ich einen Virus oder Malware oder sonstiges auf dem Rechner?
    Log-Analyse und Auswertung - 15.08.2010 (23)
  11. Grafikkarte oder Monitor defekt? Oder ganz was anderes?
    Netzwerk und Hardware - 09.06.2010 (3)
  12. schadhaftes script oder virus? url falschmeldung oder echte gefahr?
    Plagegeister aller Art und deren Bekämpfung - 06.06.2010 (6)
  13. Hab ich den Trojan.Agent oder Antivirus 2008 oder 2009
    Plagegeister aller Art und deren Bekämpfung - 26.02.2009 (1)
  14. Hilfe!! Monder.Acia oder Vundo 129024 oder Virtumonde auf dem PC gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.12.2008 (0)
  15. richtig- oder falsch-positiv? kompromittiert ja oder nein?
    Log-Analyse und Auswertung - 26.01.2008 (12)
  16. Ich hab folgende trojaner oder adware oder was auch immer gefunden!
    Log-Analyse und Auswertung - 23.07.2006 (15)
  17. TR/Drop.Delf.DJ.4 oder TR/LowZones.A.2 oder WEBREBATES0.EXE Problem
    Log-Analyse und Auswertung - 27.10.2004 (2)

Zum Thema Verwundert, oder so ... - Erstmal Holla miteinander Also, es ist nicht so das sich mein Rechner übermässig komisch verhält, ISDN ist so oder so lahm *g* Eventuell höheres Aufkommen an Spam-Mail, aber das könnte - Verwundert, oder so ......
Archiv
Du betrachtest: Verwundert, oder so ... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.