Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Spionage-Programm oder was sonst?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.07.2007, 22:45   #1
La Nado
 

Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Bin ganz neu hier, daher bin ich mir nicht sicher, ob ich mit meinem Problem hier richtig bin in dieser Rubrik.
Hab schon seit längerer Zeit in unregelmäßigen Abständen ein undefinierbares Programm-Symbol in der "Taskbar Notification Area".

Jedes Mal, wenn ich mit dem Mauszeiger darüber gehe, verschwindet das Symbol. Hab auch schon versucht, mit dem "Process Explorer" der Sache auf den Grund zu gehen. Dort wird aber kein Eintrag angezeigt. Ich habe den Verdacht, dass es sich evtl. um ein Spionage-Programm oder ähnliches handeln könnte. Kann mir da jemand weiter helfen, ist jemandem das Symbol bekannt? Könnte es möglicherweise mit eMule zu tun haben?
Auf dem PC ist Win XP Pro installiert.

Gruß La Nado

Geändert von La Nado (12.07.2007 um 23:12 Uhr)

Alt 13.07.2007, 00:22   #2
myrtille
/// TB-Ausbilder
 
Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Hi,
hast du schonmal unter Rechtsklick auf Start->Eigenschaften->Taskleiste->Anpassen geschaut ob du das Symbol dort findest und es einen Namen hat?

Heutzutage erstellt fast jedes Programm ein solches Symbol und es kommt mir auch nicht ganz unbekannt vor, es könnte also auch ein normales Programm sein.

Erstelle außerdem noch ein HijackThis -Log und poste es hier unter Beachtung der Anleitung (!)

lg myrtille
__________________


Alt 13.07.2007, 14:50   #3
La Nado
 

Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Herzlichen Dank für deine Antwort myrtille. Ich habe zunächst mal in der Taskleiste unter "Anpassen" geschaut, dort taucht das Prog-Symbol aber nicht auf. Ich muß halt mal abwarten, bis dieses Symbol wieder auftaucht und dann den Vorgang noch mal wiederholen. Das kann aber mehrere Tage dauern.

Ich hatte schon bei "Nickles" im Forum mein Problem geschildert, bin da aber nicht weiter gekommen, bis auf die Empfehlung, es bei "Trojaner-Board" zu versuchen. Auf jeden Fall habe ich dort 9 Tage warten müssen, bis das Prog-Symbol wieder auftaucht, um mit dem "Process Explorer" eine Analyse durchzuführen.

Mir ist auch noch nicht klar, ob das Auftauchen dieses Prog-Symbols in Abhängigkeit vom Start anderer Programme abhängt.

Im 2. Schritt habe ich nachfolgendes HijackThis-Log-File erstellt:
Logfile of HijackThis v1.99.1
Scan saved at 15:01:35, on 13.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AntiVir PersonalEdition Classic\sched.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Java\jre1.5.0_11\bin\jusched.exe
D:\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
D:\Thrustmaster\Thrustmapper\TMTMTSR.exe
D:\Tobit ClipInc\Player\ClipIncTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
D:\TOR-Server\Vidalia\vidalia.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\TOR-Server\Privoxy\privoxy.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe
D:\TOR-Server\Tor\tor.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
D:\Directory Opus\DOpus.exe
D:\Microsoft\Office\OFFICE11\OUTLOOK.EXE
D:\Mozilla\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Georg\Desktop\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - *:\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - *:\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - *:\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {F697AC7F-7198-4B96-BB66-959347950569} - C:\WINDOWS\system32\xpsp3ses.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - *:\ICQToolbar\toolbaru.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - *:\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "*:\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] *:\Nero\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "*:\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\Bilder.exe
O4 - HKLM\..\Run: [ThrustTSR] *:\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ClipIncSrvTray] ":\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Vidalia] "*:\TOR-Server\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] *:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = *:\Microsoft\Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = *:\Microsoft\Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Privoxy.lnk = *:\TOR-Server\Privoxy\privoxy.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://*:\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://*:\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://*:\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://*:\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://*:\MICROS~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Internet Radio by Endicosoft.com - {1F958B09-3312-7f0e-9723-4C1324C57B20} - *:\Internet Radio\Radio.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - *:\MICROS~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - *:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - *:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - *:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - *:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - *:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - *:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - *:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 004 (ClipInc004) - Unknown owner - *:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 005 (ClipInc005) - Unknown owner - *:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: DirectX Service (DirectLafr) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Gegebenenfalls müßte ich diese Prozedur noch mal wiederholen, sobald das Prog-Symbol wieder auftaucht.

Gruß La Nado
__________________

Alt 13.07.2007, 15:51   #4
myrtille
/// TB-Ausbilder
 
Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Hi,
da sind schon einige seltsame Einträge dabei, lass bitte mal folgende Dateien bei virustotal auswerten.
Zitat:
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\WINDOWS\system32\xpsp3ses.dll
C:\WINDOWS\system32\Bilder.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\WINDOWS\system32\directx.exe
Warten bis oben rechts status:finished steht und dann den gesamten Text abkopieren, insbesondere sollten drauf sein: Dateiname, Größe, Hash und alle Ergebnis von den Scannern.

lg myrtille

Alt 13.07.2007, 17:19   #5
La Nado
 

Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Folgende Dateien waren in dem angegebenen Verzeichnis nicht mehr vorhanden:
C:\WINDOWS\system32\Bilder.exe
C:\WINDOWS\system32\directx.exe

"VirusTotal" ist wohl fündig geworden in der Datei:
C:\WINDOWS\system32\xpsp3ses.dll
Nachfolgend der Bericht dazu:
C:\WINDOWS\system32\inetsrv\DavCData.exe
File DavCData.exe received on 07.13.2007 17:34:18 (CET)
Current status: finished
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.
You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.13 no virus found
AntiVir 7.4.0.39 2007.07.13 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.13 no virus found
CAT-QuickHeal 9.00 2007.07.13 no virus found
ClamAV devel-20070416 2007.07.13 no virus found
DrWeb 4.33 2007.07.13 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3783 2007.07.13 no virus found
Ewido 4.0 2007.07.13 no virus found
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.13 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.13 no virus found
Kaspersky 4.0.2.24 2007.07.13 no virus found
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.12 no virus found
NOD32v2 2397 2007.07.13 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.13 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 no virus found
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.13 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 no virus found
Aditional information
File size: 42496 bytes
MD5: 9880872c1236f29822732e70c973a4b2
SHA1: 7aa241f0193573aa7deac10a13a3d1be37a410b2



C:\WINDOWS\system32\xpsp3ses.dll
File xpsp3ses.dll received on 07.13.2007 17:42:50 (CET)
Current status: finished

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.13 Win-Trojan/Stud.10224
AntiVir 7.4.0.39 2007.07.13 ADSPY/Stud.A.29
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 Win32:Trojano-3384
AVG 7.5.0.476 2007.07.12 Adware Generic.RSB
BitDefender 7.2 2007.07.13 Adware.Stud.A
CAT-QuickHeal 9.00 2007.07.13 AdWare.Stud.a (Not a Virus)
ClamAV devel-20070416 2007.07.13 Adware.BHO-12
DrWeb 4.33 2007.07.13 Trojan.DownLoader.6588
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3783 2007.07.13 no virus found
Ewido 4.0 2007.07.13 Downloader.Small.cgu
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.13 no virus found
F-Prot 4.3.2.48 2007.07.13 W32/Adware.ENL
Ikarus T3.1.1.8 2007.07.13 not-a-virus:AdWare.Win32.Stud.a
Kaspersky 4.0.2.24 2007.07.13 not-a-virus:AdWare.Win32.Stud.a
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.12 Trojan:Win32/Webprefix
NOD32v2 2397 2007.07.13 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.07.13 W32/Stud.R
Panda 9.0.0.4 2007.07.13 Adware/KeenValue
Sophos 4.19.0 2007.07.06 MapKon
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 Adware.Webprefix
TheHacker 6.1.6.146 2007.07.13 Adware/Stud.a
VBA32 3.12.0.2 2007.07.13 suspected of Trojan-Downloader.Agent.49
VirusBuster 4.3.23:9 2007.07.13 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 Ad-Spyware.Stud.A.29
Aditional information
File size: 34574 bytes
MD5: ec9482c50c394e6db67db8e8cad7d11d
SHA1: 6721a6b80b2dd5580464a478d103ef85d3679b03
packers: UPX
packers: UPX
packers: UPX
packers: UPX



C:\WINDOWS\system32\Bilder.exe
Diese Datei ist in dem angegebenen Ordner nicht vorhanden.



C:\WINDOWS\system32\cjpcsc.exe
File cjpcsc.exe received on 07.13.2007 17:56:40 (CET)
Current status: finished

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.13 no virus found
AntiVir 7.4.0.39 2007.07.13 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.13 no virus found
CAT-QuickHeal 9.00 2007.07.13 no virus found
ClamAV devel-20070416 2007.07.13 no virus found
DrWeb 4.33 2007.07.13 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3783 2007.07.13 no virus found
Ewido 4.0 2007.07.13 no virus found
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.13 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.13 no virus found
Kaspersky 4.0.2.24 2007.07.13 no virus found
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.12 no virus found
NOD32v2 2397 2007.07.13 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.13 Suspicious file
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 no virus found
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.13 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 no virus found
Aditional information
File size: 593920 bytes
MD5: 2f293343eafb881947cdd0e9d5ff726c
SHA1: 0196af6feb9c53a4de28747d11aacf676b12e73e


C:\WINDOWS\system32\directx.exe
0 bytes size received / Se ha recibido un archivo vacio
Diese Datei ist in dem angegebenen Ordner nicht vorhanden.

Gruß La Nado


Alt 13.07.2007, 17:36   #6
myrtille
/// TB-Ausbilder
 
Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Ich bin mir recht sicher, dass die Dateien da sind, sie wollen nur nicht gesehen werden.

Versuch mal folgendes:
Lade dir killbox und löschen mittels "Delete on reboot" folgendes:
Zitat:
C:\WINDOWS\system32\Bilder.exe
C:\WINDOWS\system32\directx.exe
Lade, falls erfolgreich, die Dateien aus C:\!killbox\... bei virustotal hoch.

lg myrtille

Alt 13.07.2007, 20:10   #7
La Nado
 

Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Habe die beiden Dateien mit "KillBox" gelöscht und den PC neu gestartet.
Hier die Log-Datei:
Pocket Killbox version 2.0.0.881
Running on Windows XP as Georg(Administrator)
was started @ Freitag, Juli 13, 2007, 8:26 PM
# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\Bilder.exe
# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\directx.exe
I Rebooted @ 8:32:30 PM
Killbox Closed(Exit) @ 8:32:32 PM
:aplaus:
Was ist denn mit der Datei: C:\WINDOWS\system32\xpsp3ses.dll?
Da wurde doch auch einiges angezeigt.

Deine 2. Anweisung weiß ich noch nicht so recht umzusetzen:
Zitat:
Zitat von myrtille Beitrag anzeigen
Lade, falls erfolgreich, die Dateien aus C:\!killbox\... bei virustotal hoch.
C:\In dem Ordner Dokumente und Einstellungen\Georg\Desktop\KillBox ist nur die KillBox.exe gespeichert.
In dem Ordner C:\!Killbox ist nichts gespeichert.
In dem Ordner C:\!Killbox\Logs ist nur die Log-Datei gespeichert.
Es wäre nett, wenn du mir das noch mal näher erläutern könntest.

Gruß La Nado

Geändert von La Nado (13.07.2007 um 20:16 Uhr)

Alt 13.07.2007, 20:39   #8
myrtille
/// TB-Ausbilder
 
Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Hmm, das ist seltsam, sicher, dass es nicht nur daran liegt, dass du nicht alle Dateien sichtbar gemacht hast?
Die 3. Datei im abgesicherten Modus löschen und dann die Einträge der 3 schädlichen Dateien im HJT-Log fixen:
Zitat:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {F697AC7F-7198-4B96-BB66-959347950569} - C:\WINDOWS\system32\xpsp3ses.dll
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\Bilder.exe
O23 - Service: DirectX Service (DirectLafr) - Unknown owner -C:\WINDOWS\system32\directx.exe (file missing)
Erstelle sicherheitshalber noch einen eScan(Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.)

lg myrtille

Alt 24.07.2007, 11:15   #9
La Nado
 

Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Hatte die ganze letzte Woche leider keine Zeit, daher melde ich mich erst jetzt wieder. Habe eScan im abgesicherten Modus mit Netzwerk-Unterstützung nach Anleitung laufen lassen. Beim 1. Versuch habe ich alle Laufwerke (c-k) gescannt. Das ganze hat 4,5 Std. gedauert. Beim Anlegen der Protokolldatei hängt sich Notepad immer auf. Danach hab ich nur Laufwerk C: gescannt. Es wurden 26 Einträge und 140 Fehler festgestellt. Nach Ausführen von Punkt 12 der Anleitung habe ich den PC neu gestartet und Punkt 13 ausgeführt. Es wird zwar eine Datei namens "escan_neu.txt" angelegt, aber es wird dort nichts hinein geschrieben. Frage also: Was läuft falsch oder was mache ich falsch?

Gruß LaNado

Alt 24.07.2007, 18:43   #10
myrtille
/// TB-Ausbilder
 
Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Gibt es denn die mwav.log? Lade diese bitte zb bei file-upload.net hoch und stelle den Link hierrein, dann schauen wir warum das mit der find.bat nicht funktioniert ist.

lg myrtille

Alt 24.07.2007, 21:15   #11
La Nado
 

Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Jo, die Datei befindet sich im Verzeichnis "bases_x", hat aber auf meinem PC eine Größe von 204 MB ?!?. Deswegen kann ich die nicht bei "file-uploade.net" hochladen. Ich habe aber bei STRATO einen eigenen Webspace unter der Adresse "www.soft-serv.de". Mit WS_FTP übertrage ich gerade die Datei "MWAV.LOG" ins Root-Verzeichnis. Laut WS_FTP dauert das noch bis 0:45 Uhr.

Gruß La Nado

Alt 24.07.2007, 21:22   #12
myrtille
/// TB-Ausbilder
 
Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



204 Mb?

Die Originaldatei sollte hoffentlich kleiner sein und sich in dem Temp-Ordner befinden, in dem auch eScan gespeichert worden ist.
Wenn die Datei kleiner als die Kopie im x_bases Ordner ist, dann lade bitte diese hoch.

lg myrtille

Alt 24.07.2007, 21:44   #13
La Nado
 

Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



eScan hat ja seine Dateien in dem Ordner "C:\Dokumente und Einstellungen\Georg\Lokale Einstellungen\Temp" abgelegt. Dort ist auch eine Logdatei "MWAV.LOG" vorhanden. Die ist aber genauso groß, das gleiche Datum, aber andere Uhrzeit.
Laut Anleitung Punkt 8 sollte ich die Datei "mwavscan.com" starten, was ich auch gemacht habe. Daraufhin kam aber ne Fehlermeldung und hab deswegen die "escan.exe" gestartet. Die Datei "mwavscan.com" in aber im TEMP-Ordner vorhanden.
Die Logdatei "MWAV.LOG" kann ich aber problemlos mit "UltraEdit" öffnen und auch lesen. Das Laden dauert ungefähr ne Minute.

Gruß La Nado

Alt 24.07.2007, 21:48   #14
myrtille
/// TB-Ausbilder
 
Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Nein, wenn die gleichgroß sind, dann hat das alles seine richtigkeit.
Um dreiviertel eins (na wie spät ist das ) werd ich wahrscheinlich nicht mehr hier sein, werde mir das allerdings dann morgen anschauen.

lg myrtille

Alt 24.07.2007, 21:53   #15
La Nado
 

Spionage-Programm oder was sonst? - Standard

Spionage-Programm oder was sonst?



Ich muss auch gleich ins Bett. Die Datenübertragung lass ich weiter durchlaufen. Bin dann morgen Abend ab ca. 19:00 wieder am PC.

Gruß La Nado

Antwort

Themen zu Spionage-Programm oder was sonst?
abständen, askbar, confused, eintrag, emule, explorer, grund, handel, helfen, installier, jemandem, längerer, mauszeiger, möglicherweise, neu, nicht sicher, notification, problem, process, regelmäßigen, richtig, sache, unregelmäßige, verdacht, verschwindet, versuch, versucht, win xp, win xp pro, ähnliches



Ähnliche Themen: Spionage-Programm oder was sonst?


  1. Malware/Adware oder sonst was
    Plagegeister aller Art und deren Bekämpfung - 25.06.2015 (35)
  2. Windows 7: PC ist langsamer als sonst nach mehreren Programm installationen (genauere beschreibung im Thema)
    Log-Analyse und Auswertung - 09.05.2014 (15)
  3. Hilfe!!! Wer hat es auf mich abgesehen??? Trojaner, Spionage??? Professionelles Auspionieren oder nur "normale" Junk-Trojaner???
    Log-Analyse und Auswertung - 27.05.2013 (5)
  4. Trojaner oder Virus oder sonst was schädliches ?
    Log-Analyse und Auswertung - 09.12.2012 (28)
  5. M5T8QL3YW3 oder KLJ.exe, ein gefährliches Programm?
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  6. Ebay spionage oder überwachungstrojaner ?
    Überwachung, Datenschutz und Spam - 14.10.2011 (3)
  7. Keylogger oder sonst etwas?
    Log-Analyse und Auswertung - 29.05.2011 (1)
  8. Sysfucker oder sonst was?
    Plagegeister aller Art und deren Bekämpfung - 09.06.2010 (1)
  9. Sicher oder Programm Beharken ???
    Antiviren-, Firewall- und andere Schutzprogramme - 15.10.2009 (11)
  10. Virus, Trjoaner oder sonst was?
    Plagegeister aller Art und deren Bekämpfung - 18.09.2008 (3)
  11. Hilfe!Trojaner oder sonst was...
    Plagegeister aller Art und deren Bekämpfung - 24.09.2007 (1)
  12. hilfe hilfe - hab mir ein trojaner oder sonst was eingefanen
    Log-Analyse und Auswertung - 14.07.2006 (2)
  13. Trojaner, Logger oder sonst was..?
    Mülltonne - 22.05.2006 (0)
  14. Festplatte oder RAM oder sonst was - futsch?
    Netzwerk und Hardware - 10.05.2005 (1)
  15. Brauche Hilfe...Trojaner, Spyware oder sonst sowas...
    Log-Analyse und Auswertung - 02.01.2005 (4)
  16. Was ist das für ein Virus 7 Wurm oder sonst ein Mist?
    Plagegeister aller Art und deren Bekämpfung - 11.04.2004 (5)
  17. Image oder was sonst?
    Alles rund um Mac OSX & Linux - 18.11.2002 (17)

Zum Thema Spionage-Programm oder was sonst? - Bin ganz neu hier, daher bin ich mir nicht sicher, ob ich mit meinem Problem hier richtig bin in dieser Rubrik. Hab schon seit längerer Zeit in unregelmäßigen Abständen ein - Spionage-Programm oder was sonst?...
Archiv
Du betrachtest: Spionage-Programm oder was sonst? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.