Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: "scsiusr4" und "Win32/Diamin Trojaner"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.08.2007, 10:52   #1
nile
 
"scsiusr4" und "Win32/Diamin Trojaner" - Standard

"scsiusr4" und "Win32/Diamin Trojaner"



Hallo,

wir ärgern uns seit einigen Tagen mit unserem PC rum, der wie es aussieht, mit einer Reihe Trojaner u.Ä. befallen zu sein scheint. Es würde uns sehr helfen, wenn uns jemand (verständliche ) Tipps geben könnte, die konkret auf unsere Situation anwendbar sind.

Wir haben schon sehr viel Zeit mit Googeln und dem Ausprobieren von Tipps für vermeintlich(?) ähnliche Probleme verbracht, aber nichts hat bislang geholfen...

Ein besonderes Verhalten des PCs konnten wir bislang nur einmal feststellen, als nämlich nach dem Hochfahren "wuauclt.exe" aus dem System 32 auf irgendeine Website zugreifen wollte (es war etwas der Art "blablaID.com").

Zusammenfassung des Gefundenen:

1. fand HijackThis bei einem Routinecheck "scsiusr4" und bewertete es als böse.

Googeln ergab, dass es sich um einen Haxdoor handelt, den man mit Haxfix entfernen könnte.

Haxfix fand aber nichts und konnte somit auch nichts entfernen...

2. Haben wir alle möglichen und unmöglichen Virenscanner verwendet, die in Sicherheitsforen genannt wurden. Zunächst haben wir damit ganz normal gescannt, später dann im abgesicherten Modus (nachdem wir gelesen hatten, dass man das so machen sollte).

Die Ergebnisse waren immer unterschiedlich:

- ActiveScan fand Folgendes:

Virus:trj/haxdoor.hy Desinfiziert Betriebssytem
Spyware:Cookie/Ccbill Nicht desinfiziert
C:\Dokumente und Einstellungen\Max\Cookies\max@ccbill[1].txt
Spyware:Cookie/fe.lea.lycos Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@fe.lea.lycos[1].txt
Spyware:Cookie/Toplist Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@toplist[1].txt
Spyware:Cookie/Xiti Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@xiti[1].txt
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nuci132b.default\Cache\633285D9d01[SmitfraudFix/Process.exe]
Potenziell unerwünschtes Tool:Application/SuperFast Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nuci132b.default\Cache\633285D9d01[SmitfraudFix/restart.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Programme\HaxFix\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-1801674531-682003330-1003\Dc13.zip[SmitfraudFix/Process.exe]
Potenziell unerwünschtes Tool:Application/SuperFast Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-1801674531-682003330-1003\Dc13.zip[SmitfraudFix/restart.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\WINDOWS\system32\process.exe

- NOD32 fand:

eine Variante von Win32/Diamin Trojaner (kein Logfile mehr vorhanden)

- cureit/DrWeb fand:

RegUBP2b-Max.reg C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots Trojan.StartPage.1505 Gelöscht.
A0036441.exe C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Tool.Prockill Gelöscht.
A0036442.exe C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Tool.Prockill Gelöscht.
A0036572.reg C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Trojan.StartPage.1505 Gelöscht.

- ScanSpyware fand:

[Haxdoor.DD]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsiusr4

[Trojan.Media-Codec]
HKEY_CURRENT_USER\SOFTWARE\SECURITY TOOLS

[WinAntivirus]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A}


- Kaspersky fand:

C:\Programme\ESET\cache\FND0.NFI Infected: Trojan.Win32.Diamin.is skipped


Jeder Scanner findet etwas anderes, entfernen kann man das Gefundene aber meist nicht. Was können wir jetzt noch machen? Für einen Tipp wären wir wirklich dankbar.

Falls ich wichtige Informationen vergessen haben sollte, reiche ich sie natürlich nach.


Viele Grüße, Nile

Alt 08.08.2007, 11:39   #2
inFiniTY
Gesperrt
 
"scsiusr4" und "Win32/Diamin Trojaner" - Standard

"scsiusr4" und "Win32/Diamin Trojaner"



Zitat:
wir ärgern uns seit einigen Tagen mit unserem PC rum, der wie es aussieht, mit einer Reihe Trojaner u.Ä. befallen zu sein scheint. Es würde uns sehr helfen, wenn uns jemand (verständliche ) Tipps geben könnte, die konkret auf unsere Situation anwendbar sind.
OS? Version?

Zitat:
Ein besonderes Verhalten des PCs konnten wir bislang nur einmal feststellen, als nämlich nach dem Hochfahren "wuauclt.exe" aus dem System 32 auf irgendeine Website zugreifen wollte (es war etwas der Art "blablaID.com").
wuauclt.exe ist der Windows Update Dienst, könnte aber natürlich infiziert sein, um da irgendwas zu sagen müsste man die genaue Seite wissen

Zitat:
1. fand HijackThis bei einem Routinecheck "scsiusr4" und bewertete es als böse.
Wenn du schon von HJT redest(tun auch nicht alle ), tu uns den Gefallen und poste den vollständigen Log Ersetze davor aber Realname/http mit ***/h**p


Zitat:
2. Haben wir alle möglichen und unmöglichen Virenscanner verwendet, die in Sicherheitsforen genannt wurden. Zunächst haben wir damit ganz normal gescannt, später dann im abgesicherten Modus (nachdem wir gelesen hatten, dass man das so machen sollte).
Hoffentlich habt ihr auch die AVPs ordentlich entfernt, sonst könnt ihr froh sein, dass überhaupt noch was läuft

Zitat:
Falls ich wichtige Informationen vergessen haben sollte, reiche ich sie natürlich nach.
HijackThis Log, Blacklight Log ansonsten wärs dass
__________________


Alt 08.08.2007, 15:52   #3
nile
 
"scsiusr4" und "Win32/Diamin Trojaner" - Standard

"scsiusr4" und "Win32/Diamin Trojaner"



Hallo inFiniTy,

Zitat:
Zitat von inFiniTY
OS? Version?
Also wir haben Windows XP.

Zitat:
Zitat von inFiniTY
wuauclt.exe ist der Windows Update Dienst, könnte aber natürlich infiziert sein, um da irgendwas zu sagen müsste man die genaue Seite wissen
Die genaue Seite habe ich mir leider nicht aufgeschrieben, in solchen Situationen handelt man (bzw. ich) ja leider nicht immer so vorausschauend, wie man sollte.

Zitat:
Zitat von inFiniTY
Hoffentlich habt ihr auch die AVPs ordentlich entfernt, sonst könnt ihr froh sein, dass überhaupt noch was läuft
Hoffe ich auch...


Zitat:
Zitat von inFiniTY
Wenn du schon von HJT redest(tun auch nicht alle ), tu uns den Gefallen und poste den vollständigen Log Ersetze davor aber Realname/http mit ***/h**p
Bei den letzten Checks mit HijackThis hat er nichts mehr gefunden,
deshalb hatte ich hier kein Logfile gepostet. Allerdings sieht es jetzt wieder anders aus:

Logfile of HijackThis v1.99.1
Scan saved at 16:34:42, on 08.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Max\LOKALE~1\Temp\Rar$EX00.297\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.1_07) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O16 - DPF: {CAFEEFAC-0014-0001-0007-ABCDEFFEDCBA} (Java Plug-in 1.4.1_07) -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: scsiusr4 - C:\WINDOWS\
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


Blacklight findet hingegen nichts und ein Logfile gibt es auch nicht.



nile
__________________

Antwort

Themen zu "scsiusr4" und "Win32/Diamin Trojaner"
1.exe, abgesicherten modus, antivirus, einstellungen, entfernen, firefox, folge, handel, helfen, hijack, hijackthis, infected, kaspersky, logfile, microsoft, mozilla, probleme, programme, scan, security, software, system, system 32, system volume information, system32, trojaner, unterschiedlich, windows, winlogon, wuauclt.exe



Ähnliche Themen: "scsiusr4" und "Win32/Diamin Trojaner"


  1. Eset findet "Win32/Bundled.Toolbar.Google.D" und "Win32/OpenCandy.C"
    Plagegeister aller Art und deren Bekämpfung - 22.09.2015 (10)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  5. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  6. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  7. "Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
    Log-Analyse und Auswertung - 12.04.2012 (21)
  8. viren "Trojan:Win32/Bumat!rts" und "Exploit Java/CVE-2010-0840.ew" auf Laptop
    Plagegeister aller Art und deren Bekämpfung - 05.10.2011 (8)
  9. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  10. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  11. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  12. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  13. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  14. "your privacy is in danger" - worm.win32.netbooster - unerwünschte "Ultimate Cleaner"
    Log-Analyse und Auswertung - 01.05.2008 (1)
  15. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  16. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
  17. Win:32 "Namedy", Win32: "Dynafor" und Win:32 "Dybac"
    Plagegeister aller Art und deren Bekämpfung - 12.04.2006 (10)

Zum Thema "scsiusr4" und "Win32/Diamin Trojaner" - Hallo, wir ärgern uns seit einigen Tagen mit unserem PC rum, der wie es aussieht, mit einer Reihe Trojaner u.Ä. befallen zu sein scheint. Es würde uns sehr helfen, wenn - "scsiusr4" und "Win32/Diamin Trojaner"...
Archiv
Du betrachtest: "scsiusr4" und "Win32/Diamin Trojaner" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.