Zurück   Trojaner-Board > Malware entfernen > Antiviren-, Firewall- und andere Schutzprogramme

Antiviren-, Firewall- und andere Schutzprogramme: Trojaner-Funde von Endpoint-Protection

Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 19.03.2009, 20:08   #1
MaxMoritz6
 
Trojaner-Funde von Endpoint-Protection - Ausrufezeichen

Trojaner-Funde von Endpoint-Protection



Mein Laptop ist mit Symantec Endpoint Protection v11.0.4010.19 geschützt.
Leider werden folgende Trojaner gemeldet:
Trojan Horse
Bloodhound.SONAR.1
Tracking Cookie

Mit der Anleitung für eScan habe ich die entsprechenden Dateien ermittelt und komplett gelöscht.

Nach dem normalen Hochfahren, kommen die Trojaner-Funde wieder.
Gibt es Downloader, die nicht gefunden werden?
Ist ein Rootkit zu vermuten?

Was kann ich machen?

HiJackThis-Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:24, on 19.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec\Symantec Endpoint Protection\Smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Symantec\Symantec Endpoint Protection\Rtvscan.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\TightVNC\WinVNC.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\DOKUME~1\Berti\ANWEND~1\MICROS~1\cisvc.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Symantec\Symantec Endpoint Protection\SavUI.exe
C:\Programme\eMule\eMule.exe
C:\Programme\Microsoft Office 2003\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office 2003\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F3 - REG:win.ini: load=C:\DOKUME~1\Berti\ANWEND~1\MICROS~1\cisvc.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Policies\Explorer\Run: [MstInit] C:\DOKUME~1\Berti\LOKALE~1\Temp\mstinit.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\WINDOWS\System\clipsrv.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1390067357-1450960922-725345543-1005\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 (User 'Mattes Plieth')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MstInit] C:\DOKUME~1\Berti\ANWEND~1\mstinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [MstInit] C:\DOKUME~1\Berti\ANWEND~1\mstinit.exe /waitservice (User 'Default user')
O4 - Global Startup: ALF-BanCo 3 Reminder.lnk = C:\Programme\ALFBanCo3\AlfReminder3.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236715894421
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1236716216843
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Programme\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Programme\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Programme\Symantec\Symantec Endpoint Protection\Rtvscan.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Programme\TightVNC\WinVNC.exe

--
End of file - 8132 bytes

Ich bin für jeden Tip dankbar!

MaxMoritz

Alt 20.03.2009, 09:04   #2
Redwulf
 
Trojaner-Funde von Endpoint-Protection - Standard

Trojaner-Funde von Endpoint-Protection



Halo MaxMoritz und

Um dir kompetent bei deinem Problem zu Seite stehen zu können, benötigen wir Informationen. Bitte lies dir diese Anleitung durch.

Bitte arbeite die Anleitung durch und poste die erforderlichen Logs..

Vorab zur info:
In deinem Hijack Log- file ist zumindest 1 file zu sehen was unter system32 laufen sollte, dies aber nicht tut.

Bitte lasse folgende files bei Virustotal überprüfen:
Code:
ATTFilter
C:\DOKUME~1\Berti\ANWEND~1\MICROS~1\cisvc.exe
C:\DOKUME~1\Berti\LOKALE~1\Temp\mstinit.exe
         
Ich befürchte, dass es sich bei der Datei cisvc.exe um diesen hier handelt:
W32.HLLW.Gaobot.EE

mstinit.exe = wird auch in Verbindung gebracht mit:
TrojanDownloader:Win32/Horst.Q [Microsoft]
Trojan-Downloader.Win32.Calac [Ikarus]
BKDR_HUPIGON.QZM [Trend Micro]
Generic.dx [McAfee]
TROJ_AGENT.NLT [Trend Micro]
Trojan.Win32.Agent.aod [Kaspersky Lab]
W32.Spybot.Worm [Symantec]

Beide filenamen werden von Microsoft verwandt, laufen aber nicht da wo sie sein sollten.

Zum Thema: Bloodhound.SONAR.1

Bitte schau dir diese Webseite an.
Zitat:
Code:
ATTFilter
" Files that are detected as Bloodhound.Sonar.1 should be submitted to Symantec Security Response.     und
It may represent a new, previously unidentified type of risk.
         
Du solltest den Ratschlägen auf dieser Seite folgen und das erkannte file einschicken.

Offensichtlich hat du ein oder mehrere Probleme. Jedes für sich kann u.U. ein erhebliches Sicherheitsrisiko darstellen, deshalb solltest du dir auch einmal Gedanken machen ob ein Neuaufsetzen deines Systems nicht die bessere Wahl wäre. Insbesondere der Hinweis von Symantec bereitet mir Kopfschmerzen..

Es ist deine Entscheidung, ich werde allerdings noch jemanden vom Kompetenzteam hierauf aufmerksam machen, um noch eine andere Meinung einzuholen...
__________________

__________________

Alt 21.03.2009, 01:48   #3
Redwulf
 
Trojaner-Funde von Endpoint-Protection - Standard

Trojaner-Funde von Endpoint-Protection



Ich habe mich umgehört. Neuaufsetzen ist der richtige Weg...
__________________
__________________

Alt 24.03.2009, 21:56   #4
MaxMoritz6
 
Trojaner-Funde von Endpoint-Protection - Standard

Trojaner-Funde von Endpoint-Protection



Ersteinmal vielen Dank!

Ich möchte es trotzdem versuchen:
1. CCleaner
2. Malwarebytes Anti-Malware Logdatei
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1892
Windows 5.1.2600 Service Pack 3

24.03.2009 21:41:48
mbam-log-2009-03-24 (21-41-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|U:\|Y:\|)
Durchsuchte Objekte: 188113
Laufzeit: 1 hour(s), 8 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 26

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\MstInit (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
U:\Video\UltraISO.Premium.Edition.v9.3.0.2612.Multilingual.Incl.Keymaker-CORE\keygen.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Berti\Lokale Einstellungen\Temp\mstinit.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system\ieudinit.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system\mstsc.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Berti\Anwendungsdaten\Microsoft\mstsc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\mstinit.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\comrepl.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Berti\Anwendungsdaten\Microsoft\mstinit.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\sessmgr.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Berti\Anwendungsdaten\Microsoft\sessmgr.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Mattes Plieth\Anwendungsdaten\Microsoft\sessmgr.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Berti\Anwendungsdaten\mstsc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\B.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\rsvp.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\cisvc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\logman.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\cmstp.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\mqtgsvc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\comrepl.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Berti\Anwendungsdaten\Microsoft\rsvp.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\system\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\system32\drivers\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Dokumente und Einstellungen\Berti\Anwendungsdaten\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Dokumente und Einstellungen\Berti\Anwendungsdaten\Microsoft\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

3. Hijack This Logfile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:44:27, on 24.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec\Symantec Endpoint Protection\Smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Symantec\Symantec Endpoint Protection\Rtvscan.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\TightVNC\WinVNC.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\DOKUME~1\Berti\ANWEND~1\MICROS~1\cisvc.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\eMule\eMule.exe
C:\DOKUME~1\Berti\LOKALE~1\Temp\~tmp\mdnk45\mdmm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = w...google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h..p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://w...google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h..p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h..p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h..p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F3 - REG:win.ini: load=C:\DOKUME~1\Berti\ANWEND~1\MICROS~1\comrepl.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\Policies\Explorer\Run: [MqtgSVC] C:\WINDOWS\System32\drivers\mqtgsvc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\WINDOWS\System\clipsrv.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MstInit] C:\DOKUME~1\Berti\ANWEND~1\mstinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [MstInit] C:\DOKUME~1\Berti\ANWEND~1\mstinit.exe /waitservice (User 'Default user')
O4 - Global Startup: ALF-BanCo 3 Reminder.lnk = C:\Programme\ALFBanCo3\AlfReminder3.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h..p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236715894421
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h..p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1236716216843
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Programme\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Programme\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Programme\Symantec\Symantec Endpoint Protection\Rtvscan.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Programme\TightVNC\WinVNC.exe

--
End of file - 9666 bytes

Alt 25.03.2009, 10:40   #5
Redwulf
 
Trojaner-Funde von Endpoint-Protection - Standard

Trojaner-Funde von Endpoint-Protection



Ohne Worte:
Code:
ATTFilter
CORE\keygen.exe
         
Ich werde dir nicht helfen deine illegal bezogene Software von dem Müll zu befreien......sorry

__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 25.03.2009, 12:40   #6
myrtille
/// TB-Ausbilder
 
Trojaner-Funde von Endpoint-Protection - Standard

Trojaner-Funde von Endpoint-Protection



Hi,

bevor du neuaufsetzt tu mir bitte noch den Gefallen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\System\clipsrv.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

lg myrtille
__________________
--> Trojaner-Funde von Endpoint-Protection

Alt 25.03.2009, 19:54   #7
MaxMoritz6
 
Trojaner-Funde von Endpoint-Protection - Standard

Trojaner-Funde von Endpoint-Protection



Vilen Dank für die Antworten!

Ich streue Asche auf mein Haupt.....

Gestern Abend habe ich nach den Anleitungen selbst gehandelt.

Dabei habe ich 52 Dateien gefunden, die unterschiedliche Namen hatten, in verschiedenen Verzeichnissen lagen (Windows-Systemverzeichnisse und Verzeichnisse im Profil), die gleiche Größe hatten (80 KB im Windows-Exploer) und das gleiche Dateum hatten(Geädert am 23.01.2009 15:27) und alle "EXE-Dateien" waren. Ich habe aber keine aufgehoben. Die Verweise in der Registry habe ich ebenfalls "repariert".
Nun läuft das System seid über 20 Stunden ohne "Trojaner-Meldung"!!!

Ich glaube ich bin einen wesentlichen Schritt weiter gekommen.

Ich drücke mir selber die Daumen.

Vielen Dank!

Ich melde mich wieder!

MfG
MaxMoritz6

Antwort

Themen zu Trojaner-Funde von Endpoint-Protection
adobe, antivirus, bho, dateien, downloader, escan, excel, explorer, firefox, hkus\s-1-5-18, internet, internet explorer, micro, microsoft, microsoft office 2003, mozilla, nicht gefunden, nmindexstoresvr.exe, plug-in, programme, rootkit, server, software, sp3, symantec, system, temp, trojaner, tuneup.defrag, windows, windows xp




Ähnliche Themen: Trojaner-Funde von Endpoint-Protection


  1. Symantec Endpoint Protection: Alte Sicherheitslücke bricht wieder auf
    Nachrichten - 11.11.2015 (0)
  2. FireEye bittet Nutzer zum Update seiner Endpoint-Security-Geräte
    Nachrichten - 09.09.2015 (0)
  3. Symantec Endpoint Protection: Gefährlicher Sicherheitslücken-Cocktail
    Nachrichten - 04.08.2015 (0)
  4. Probleme mit Live Update bei Symantec Endpoint Protection
    Antiviren-, Firewall- und andere Schutzprogramme - 06.03.2015 (15)
  5. Windows 7: AVAST 3 Funde, Malwarebytes 8 Funde
    Log-Analyse und Auswertung - 16.12.2014 (13)
  6. Windows 7: 30 Funde mbam, 2 Funde avira
    Log-Analyse und Auswertung - 30.08.2014 (12)
  7. Palo Alto kauft Endpoint-Security-Entwickler Cyvera
    Nachrichten - 25.03.2014 (0)
  8. Update für kritische Lücken im Symantec Endpoint Protection Manager
    Nachrichten - 14.02.2014 (0)
  9. Win7: Avira Fund: Java/Dldr.Obfshlp.JC, Malwarbytes Funde: Hijack.SearchPage in Quarantäne - 35 Funde insgesamt
    Log-Analyse und Auswertung - 06.10.2013 (5)
  10. System Progressive Protection trojaner
    Log-Analyse und Auswertung - 10.12.2012 (16)
  11. Vollständige Bereinigung nach dem Trojaner vom System Progressive Protection
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (11)
  12. GUV Virus weiterhin auf dem Rechner? Malewarebytes = keine Funde/ Antivir = 2 Funde
    Plagegeister aller Art und deren Bekämpfung - 24.09.2012 (3)
  13. Trojaner deo0_sar.exe aus Gdata Total Protection Quarantäne entfernen/beseitigen
    Plagegeister aller Art und deren Bekämpfung - 23.08.2012 (4)
  14. Abstürze durch Symantec Endpoint Protection
    Nachrichten - 13.07.2012 (0)
  15. Virus/Trojaner - Programm Antivirus Protection verweigert Zugriff auf Rechner
    Plagegeister aller Art und deren Bekämpfung - 15.04.2012 (2)
  16. Privacy Protection Trojaner unter Windows 7 geht nicht weg
    Log-Analyse und Auswertung - 28.11.2011 (23)
  17. Best Malware Protection / Activation der ultimative Schutz / Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.03.2011 (14)

Zum Thema Trojaner-Funde von Endpoint-Protection - Mein Laptop ist mit Symantec Endpoint Protection v11.0.4010.19 geschützt. Leider werden folgende Trojaner gemeldet: Trojan Horse Bloodhound.SONAR.1 Tracking Cookie Mit der Anleitung für eScan habe ich die entsprechenden Dateien ermittelt - Trojaner-Funde von Endpoint-Protection...
Archiv
Du betrachtest: Trojaner-Funde von Endpoint-Protection auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.