Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner VBS und JS

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.03.2005, 17:49   #1
*Deni*
 
Trojaner  VBS  und  JS - Standard

Trojaner VBS und JS



Hallo an alle !

Hat mich schon wieder erwischt obwohl ich es diesmahl gar nicht merke eigendlich da meine systeme und alles sehr gut Funzt ^^

Ich habe mal Kaspersky durchlaufen lassen .

das gefunden :

Untersuchte Objekte : 192185

Gefund. Vieren : 2

Desinfiziert : 0

Gelöschte vieren : 0

In Quarantene : 0

------------------------------------------


<--- So da hab ich doch wohl 2 vieren die ich nicht wegbekomme und eigendlich nicht merke .



So die gefundenen vieren deren name sind :

1.) Trojaner-Downloader.VBS.Psyme.ac

2.) Trojaner-Downloader.JS.MINER.




Ich habe euch einen Haij. Log gemacht vielleicht findet ihr da was ? :


Logfile of HijackThis v1.99.0
Scan saved at 18:41:11, on 18.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107647321036
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - hxxp://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - hxxp://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe






Ich bin für jede Hilfe dankbar !
Sage jetzt schon Danke für eure bemühungen .

(Dieses Forum ist einfach genial )

MfG

Alt 18.03.2005, 17:52   #2
Yopie
Moderator, a.D.
 
Trojaner  VBS  und  JS - Standard

Trojaner VBS und JS



Wo wurde die Malware gefunden?

Warum ist SP2 nicht installiert?

Log sieht imho gut aus, wenn auch etwas voll für meinen Geschmack.

Gruß
Yopie
__________________


Alt 18.03.2005, 17:56   #3
Haui45
 
Trojaner  VBS  und  JS - Standard

Trojaner VBS und JS



Zitat:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.dll/sp.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Das solltest du fixen und danach die Dateien
Zitat:
C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.dll manuell löschen.
C:\WINDOWS\web\related.htm
manuell löschen.
Und natürlich die Pfadangaben, wie von Yopie und cacatoa empfohlen, posten...
__________________

Alt 18.03.2005, 17:56   #4
cacatoa
 
Trojaner  VBS  und  JS - Standard

Trojaner VBS und JS



Also, Deni, nee, nee, nee....
immer noch kein SP2 drauf?
Wo findet Kaspersky die Trojs?
Such nochmal die Orte und lösche die Dateien dann im abgesicherten Modus bei deaktivierter Systemwiederherstellung.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 18.03.2005, 17:58   #5
Yopie
Moderator, a.D.
 
Trojaner  VBS  und  JS - Standard

Trojaner VBS und JS



Tatsache, hab ich glatt übersehen…

Gruß
Yopie


Alt 18.03.2005, 18:09   #6
Gigamail
 
Trojaner  VBS  und  JS - Standard

Trojaner VBS und JS



@ all

Zitat:
C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.dll/sp.html
meint Ihr nicht das ist was für den Cleaner
__________________
--> Trojaner VBS und JS

Alt 18.03.2005, 18:47   #7
cacatoa
 
Trojaner  VBS  und  JS - Standard

Trojaner VBS und JS



Ich dachte dabei aber an se.dll, nicht sp.dll (cleanermäßig)....
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 18.03.2005, 19:09   #8
Gigamail
 
Trojaner  VBS  und  JS - Standard

Trojaner VBS und JS



@ cacatoa

hast recht hab ich übersehen
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 18.03.2005, 19:15   #9
*Deni*
 
Trojaner  VBS  und  JS - Standard

Trojaner VBS und JS



Ich danke allen für die schnellen Antworten ich sagte doch dieses Forum ist genial !


----------------------
@ Yopi

Ich habe das Service P 2 nicht oben weil ich es gelöscht habe .
Bei mir Funzt das ding nach hinten los , wen ich das oben habe bekomme ich etliche i net seiten nicht auf weil da immer Windows pop up blocked immer steht und das nervt total , aber das hatten wir hier schon mal im forum besprochen ich habe keine ahnung warum das so ist bei mir .


Wo: Kaspersky das gefunden hat. habe das mal beim 2 ten durchlauf festgehalten :

---------
Achtung! Ein Virusinfiziertes Objekt wurde gefunden .

Archiv C\...\CDEN45QV\EXPLOIT[1].CHM ist infiziert vom Virus .....VBS

-----------

Achtung! Ein Virusinfiziertes Objekt wurde gefunden

Archiv C\...\XJBBXDOE\main[1].chm ist infiziert vom Virus ....

-----------------


So die habe ich da gefunden , Ich weiß aber nicht wie man die löscht da ich echt ein "noob" bin finde ich die sachen nicht ich gehe immer auf suchen aber da durchsuch ich alles wird aber nichts gefunden daher auch keine löschung möglich




----------------------------

@ Haui45

dir auch ein Dickes danke

Aber wie Lösche ich die dinger Manuel ??

ich habe das andere gelöscht mit haij ...

aber wo ich Manuel löschen sollte hmm das finde ich nicht

Wie gesagt kenn mich sehr wenig aus ich hoffe du erklärst mir das ( bitte auch so das es leute wie ich verstehen



---------------------------------


@ Cacatao

Hallo du .

Ja habe das SP2 nicht oben da es der Grund war wo wir beide so gesucht haben nach ner lösung wegen den Windows-Pop up blocked . deshalb hab ich es deinstaliert . Übrigens bin nie dazu gekommen es zu sagen ich danke dir herzlich für deine geopferte Zeit ! Echt klasse solche netten Menschen wie dich sollte es Öfters geben !

---------------------------------------------


@ Gigamail

Dein "cleaner" Funzt nicht bei mir da kommt die antwort NICHT Infiziert .




Ich hoffe ihr könnt mir weiter helfen , das lästige Thema die Dummen so wie ich müssen immer fragen .


MfG

Alt 18.03.2005, 21:13   #10
Lutz
 

Trojaner  VBS  und  JS - Standard

Trojaner VBS und JS



Zitat:
---------
Achtung! Ein Virusinfiziertes Objekt wurde gefunden .

Archiv C\...\CDEN45QV\EXPLOIT[1].CHM ist infiziert vom Virus .....VBS

-----------

Achtung! Ein Virusinfiziertes Objekt wurde gefunden

Archiv C\...\XJBBXDOE\main[1].chm ist infiziert vom Virus ....

-----------------
Das 'Wichtigste' fehlt zwar bei der Pfadangabe, aber ich denke, es handelt sich 'nur' um temporär gespeicherte Internetdateien.
Leere mal den Temp-Ordner des InternetExplorers.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 18.03.2005, 21:45   #11
*Deni*
 
Trojaner  VBS  und  JS - Standard

Trojaner VBS und JS



@ Lutz

Problem ist aus der Welt ...
(das war ja einfach )


Danke an dich und alle die sich hier beteiligt haben !


MfG

Antwort

Themen zu Trojaner VBS und JS
.inf, adobe, bho, browser, danke, einstellungen, explorer, hijack, hijackthis, icqtoolbar, internet, internet explorer, kaspersky, log, messenger, microsoft, monitor, nvcpl.dll, nvidia, programme, quara, rundll, software, spyware, sun java, systeme, temp, trojaner, urlsearchhook, windows, windows xp



Zum Thema Trojaner VBS und JS - Hallo an alle ! Hat mich schon wieder erwischt obwohl ich es diesmahl gar nicht merke eigendlich da meine systeme und alles sehr gut Funzt ^^ Ich habe mal Kaspersky - Trojaner VBS und JS...
Archiv
Du betrachtest: Trojaner VBS und JS auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.