Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: W32/Suspicious_U.gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.06.2007, 12:57   #1
mika85
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



Bekomme ca. alle 10 min. von Norman Virus Controll ( vers. 5.90 ) die meldung das diese datei ( usrvimes.exe )gefunden wurde und in Quarantäne verschoben wurde das löschender datei hilft aber nich...
Kann mir bitte jemand sagen wie sich die datei endgultig entfernen lässt bzw. was dahinter steckt???

Fundort der datei: c:\windows\system32\usrvimes.exe
Security risk: W32/Suspicious_U.gen

Bin wirklich am ende mit meinem latein....
DANKE!

Geändert von mika85 (23.06.2007 um 13:14 Uhr)

Alt 23.06.2007, 14:58   #2
nochdigger
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

lasse die Datei :

c:\windows\system32\usrvimes.exe

hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Erstelle bitte mal ein HijackThis Log (benenne die Hijackthis.exe vorher um in z.B. ABC.exe) HijackThis Log
editiere alle Links (z.B. http -> hxxp) und persönlichen Einträge.

MFG
__________________


Alt 23.06.2007, 15:43   #3
mika85
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



Herzlichen dank erstmal für deine hilfe! nachdem ich die datein sichtbar gemacht hab ergab die suche der datei ( usrvimes.exe ) das sie sich in (c:\windows\prefetch ) befindet dort heist die datei (USRVIMES.EXE-03373CFB.pf) soll ich dann diesen Pfard und diese datei überprüfen lassen oder den system32 pfard mit der enstprechenden andren datei?

danke
__________________

Alt 23.06.2007, 15:54   #4
mika85
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



Logfile of HijackThis v1.99.1
Scan saved at 15:54:18, on 23.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
E:\Programme\bluesoil\BTNtService.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\svchost.exe
E:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\system32\svchost.exe
e:\matlab6p5\bin\win32\matlab.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Npm\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Norman\Npm\bin\ZLH.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\ABC.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [NBJ] "E:\MULTIM~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{04CF563C-B430-4A82-BDA0-29EB5A1AE752}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B0AC6FD-C682-4BA5-9B22-A97EBBC8E0F1}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{04CF563C-B430-4A82-BDA0-29EB5A1AE752}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{04CF563C-B430-4A82-BDA0-29EB5A1AE752}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: rascmll_.dll
O20 - Winlogon Notify: usrvimes - C:\WINDOWS\system32\usrvimes.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - E:\Programme\bluesoil\BTNtService.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - E:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PACSPTISVR - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\PACSPT~1.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

Alt 23.06.2007, 16:26   #5
nochdigger
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



Moin

Zitat:
den system32 pfard mit der enstprechenden andren datei?
suche bitte die Datei im System32 Ordner.

lass bitte auch gleich diese Dateien :
rascmll_.dll <-- musst du suchen
und
C:\WINDOWS\system32\usrvimes.dll
mit auswerten wie oben beschrieben.

MFG


Alt 23.06.2007, 16:44   #6
mika85
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



bei der überprüfung der datei c:\windows\system32\usrvimes.exe mit virustotal wurde das angezeigt:
0 bytes size received / Se ha recibido un archivo vacio

Alt 23.06.2007, 17:42   #7
mika85
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



Complete scanning result of "rascmll_.dll", received in VirusTotal at 06.23.2007, 16:45:37 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.22.2007 no virus found
AntiVir 7.4.0.34 06.22.2007 WORM/Stration.Gen
Authentium 4.93.8 06.22.2007 no virus found
Avast 4.7.997.0 06.23.2007 no virus found
AVG 7.5.0.476 06.23.2007 no virus found
BitDefender 7.2 06.23.2007 Win32.Warezov.ZD@mm
CAT-QuickHeal 9.00 06.23.2007 no virus found
ClamAV devel-20070416 06.23.2007 no virus found
DrWeb 4.33 06.23.2007 Win32.HLLM.Limar
eSafe 7.0.15.0 06.21.2007 no virus found
eTrust-Vet 30.8.3736 06.22.2007 Win32/Stration.ABP
Ewido 4.0 06.23.2007 Worm.Warezov.pc
FileAdvisor 1 06.23.2007 no virus found
Fortinet 2.91.0.0 06.23.2007 W32/Stration.PC@mm
F-Prot 4.3.2.48 06.22.2007 no virus found
F-Secure 6.70.13030.0 06.22.2007 Email-Worm.Win32.Warezov.pc
Ikarus T3.1.1.8 06.23.2007 Email-Worm.Win32.Warezov.pc
Kaspersky 4.0.2.24 06.23.2007 Email-Worm.Win32.Warezov.pc
McAfee 5059 06.22.2007 no virus found
Microsoft 1.2701 06.23.2007 Trojan:Win32/Stration.F!dll
NOD32v2 2348 06.23.2007 Win32/Stration.AAD
Norman 5.80.02 06.22.2007 no virus found
Panda 9.0.0.4 06.23.2007 W32/Spamta.ZQ.worm
Prevx1 V2 06.23.2007 no virus found
Sophos 4.19.0 06.22.2007 W32/Strati-Gen
Sunbelt 2.2.907.0 06.21.2007 no virus found
Symantec 10 06.23.2007 no virus found
TheHacker 6.1.6.137 06.22.2007 W32/Warezov.pc
VBA32 3.12.0.2 06.23.2007 MalwareScope.Worm.Warezov.1
VirusBuster 4.3.23:9 06.23.2007 no virus found
Webwasher-Gateway 6.0.1 06.22.2007 Worm.Stration.Gen

Aditional Information
File size: 28672 bytes
MD5: 04ee9ce087ce2015d2aeae443f115d3a
SHA1: fee01cb2693e65e204caa1e19cd299ec1363c93a

Alt 23.06.2007, 18:20   #8
mika85
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



Complete scanning result of "usrvimes.dll", received in VirusTotal at 06.23.2007, 17:43:22 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.22.2007 Win32/Stration.worm.Gen
AntiVir 7.4.0.34 06.22.2007 WORM/Stration.Gen
Authentium 4.93.8 06.22.2007 W32/Warezov.gen4
Avast 4.7.997.0 06.23.2007 no virus found
AVG 7.5.0.476 06.23.2007 I-Worm/Stration.DNW
BitDefender 7.2 06.23.2007 DeepScan:Generic.Stration.4114A312
CAT-QuickHeal 9.00 06.23.2007 no virus found
ClamAV devel-20070416 06.23.2007 no virus found
DrWeb 4.33 06.23.2007 Win32.HLLM.Limar
eSafe 7.0.15.0 06.21.2007 Win32.Warezov.pc
eTrust-Vet 30.8.3736 06.22.2007 Win32/Stration!generic
Ewido 4.0 06.23.2007 Worm.Warezov.pc
FileAdvisor 1 06.23.2007 no virus found
Fortinet 2.91.0.0 06.23.2007 W32/Stration.PC@mm
F-Prot 4.3.2.48 06.22.2007 W32/Warezov.gen4
F-Secure 6.70.13030.0 06.22.2007 Email-Worm.Win32.Warezov.pc
Ikarus T3.1.1.8 06.23.2007 Email-Worm.Win32.Warezov
Kaspersky 4.0.2.24 06.23.2007 Email-Worm.Win32.Warezov.pc
McAfee 5059 06.22.2007 W32/Stration.gen@MM
Microsoft 1.2701 06.23.2007 Trojan:Win32/Stration.F!dll
NOD32v2 2348 06.23.2007 Win32/Stration.AAD
Norman 5.80.02 06.22.2007 no virus found
Panda 9.0.0.4 06.23.2007 W32/Spamta.ZQ.worm
Sophos 4.19.0 06.22.2007 no virus found
Sunbelt 2.2.907.0 06.21.2007 no virus found
Symantec 10 06.23.2007 W32.Stration@mm
TheHacker 6.1.6.137 06.22.2007 W32/Warezov.pc
VBA32 3.12.0.2 06.23.2007 MalwareScope.Worm.Warezov.1
VirusBuster 4.3.23:9 06.23.2007 no virus found
Webwasher-Gateway 6.0.1 06.22.2007 Worm.Stration.Gen

Aditional Information
File size: 114688 bytes
MD5: 5838c0bcdfe434c0240d5cffa1bb6700
SHA1: 167a5424cfc15f478aa5e890ac3af77a16b13fe0

Alt 23.06.2007, 18:21   #9
mika85
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



wie nun weiter???

Alt 23.06.2007, 18:26   #10
nochdigger
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



Hallo

Kommando zurück

MFG

Alt 23.06.2007, 18:28   #11
nochdigger
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



So

versuchen wir es mal hiermit --> Lade dir den Norman Malware Cleaner

* Cleanertool direktdownload --> Norman_Malware_Cleaner
* Deaktivieren der Systemwiederherstellung
* Rechner in den abgesicherten Modus starten (beim start F8 drücken)
* Auswahl der/des Laufwerks über - Add/Remove - am besten alle Laufwerke prüfen lassen
* Start des Cleanertools mit - Start -
* Eventuell nochmaliger durchlauf des Tools
* Neustart des Systems in den Normalmodus
* Poste die Funde der gefundenen Schädlinge die Logdatei wird auf dem Desktop abgelegt
* Erstellen und posten eines neuen HijackThis Logs

MFG

Alt 23.06.2007, 20:46   #12
mika85
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



nach dem ersten scan des tools hat er mir 276713 dateien angezeigt...soll ich das programm jetzt beenden? ich finde keine option "säubern" in dem program...???

Alt 23.06.2007, 20:54   #13
mika85
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



Scan started: 23/06/2007 18:51:48


Scanning running processes and process memory...

Number of processes/threads found: 475
Number of processes/threads scanned: 475
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 13s


Scanning file system...

Scanning: C:\*.*

Scanning: E:\*.*

E:\MATLAB6p5\java\jarext\classes111.jar/oracle/gss/util/NLSCharacter.class (Error whilst scanning file: I/O Error)

E:\MATLAB6p5\toolbox\daq\daq\src\parallel\WinIO\winio.zip/WinIo/Release/WinIo.dll (Error whilst scanning file: I/O Error)

Scanning: F:\*.*


Running post-scan cleanup routine:
Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = " rascmll_.dll" -> ""

Number of files found: 255381
Number of archives unpacked: 1110
Number of files scanned: 255341
Number of files not scanned: 40
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 1h 22m 44s

Alt 23.06.2007, 22:48   #14
nochdigger
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



Hallo

erstelle bitte ein neues HijackThis Log und poste es, ebenso schlage ich noch einen eScan vor --> eScananleitung
poste das Ergebnis mittels der Find.bat.
Lese die Anleitung bitte sehr genau.

MFG

Alt 24.06.2007, 09:43   #15
mika85
 
W32/Suspicious_U.gen - Standard

W32/Suspicious_U.gen



Logfile of HijackThis v1.99.1
Scan saved at 09:46:22, on 24.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
E:\Programme\bluesoil\BTNtService.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\svchost.exe
E:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\system32\svchost.exe
e:\matlab6p5\bin\win32\matlab.exe
C:\Norman\Npm\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Norman\Npm\bin\ZLH.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HijackThis\ABC.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.g*x.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [NBJ] "E:\MULTIM~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{04CF563C-B430-4A82-BDA0-29EB5A1AE752}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B0AC6FD-C682-4BA5-9B22-A97EBBC8E0F1}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{04CF563C-B430-4A82-BDA0-29EB5A1AE752}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{04CF563C-B430-4A82-BDA0-29EB5A1AE752}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: usrvimes - C:\WINDOWS\system32\usrvimes.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - E:\Programme\bluesoil\BTNtService.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - E:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PACSPTISVR - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\PACSPT~1.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

Antwort

Themen zu W32/Suspicious_U.gen
c:\windows, controll, dahinter, datei, entferne, entfernen, gefunde, hilft, meldung, norma, norman, quara, quarantäne, steckt, system, system32, troll, verschoben, virus, windows, wirklich



Zum Thema W32/Suspicious_U.gen - Bekomme ca. alle 10 min. von Norman Virus Controll ( vers. 5.90 ) die meldung das diese datei ( usrvimes.exe )gefunden wurde und in Quarantäne verschoben wurde das löschender datei - W32/Suspicious_U.gen...
Archiv
Du betrachtest: W32/Suspicious_U.gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.