Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: grokster & smidfraud & A0001288.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.08.2007, 20:23   #1
Daft
 
grokster & smidfraud & A0001288.exe - Standard

grokster & smidfraud & A0001288.exe



Guten Abend!

gestern habe ich aus jux mal escan laufen lassen,aber nicht im abgesicherten Modus,normal halt.Überraschenderweise hat der scan grokster und smitfraud entdeckt.Heute hab ich es dann nochmal gemacht,wie es in der Anleitung steht.
Da hat der scan mir noch eine weitere Datei angezeigt.Und zwar die "A0001288.exe",die sich hier versteckt "C:\System Volume Information\_restore{EBEEBE26-780A-4BA4-AFF6-AA6D2D6407A0}\RP1\. Diese Datei hab ich nun bei virustotal überprüft.
Spybot und Ad-Aware haben nix finden können,obwohl up-to-date.
Mein AV meldet au nix.

hier de hjt-log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:17, on 23.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\PROGRA~1\Sony\SsAAD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\WINDOWS\system32\lxcycoms.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [LXCYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SsAAD.exe] D:\PROGRA~1\Sony\SsAAD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: HOQLQTVGTRG - Sysinternals - www.sysinternals.com - C:\DOKUME~1\entrance\LOKALE~1\Temp\HOQLQTVGTRG.exe
O23 - Service: lxcy_device - - C:\WINDOWS\system32\lxcycoms.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5078 bytes




Ergebnisse der Überprüfung der Datei A0001288.exe


AhnLab-V3 2007.8.22.0 2007.08.23 -
AntiVir 7.4.1.63 2007.08.23 -
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.23 -
AVG 7.5.0.484 2007.08.23 Potentially harmful program HackTool.BVR
BitDefender 7.2 2007.08.23 -
CAT-QuickHeal 9.00 2007.08.23 -
ClamAV 0.91 2007.08.23 -
DrWeb 4.33 2007.08.23 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5082 2007.08.23 -
Ewido 4.0 2007.08.23 -
FileAdvisor 1 2007.08.23 -
Fortinet 2.91.0.0 2007.08.23 HackerTool/Reboot
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.23 -
Ikarus T3.1.1.12 2007.08.23 not-a-virus:RiskTool.Win32.Reboot.f
Kaspersky 4.0.2.24 2007.08.23 not-a-virus:RiskTool.Win32.Reboot.f
McAfee 5104 2007.08.23 potentially unwanted program Generic PUP
Microsoft 1.2803 2007.08.23 -
NOD32v2 2480 2007.08.23 -
Norman 5.80.02 2007.08.23 -
Panda 9.0.0.4 2007.08.23 -
Prevx1 V2 2007.08.23 -
Rising 19.37.32.00 2007.08.23 -
Sophos 4.20.0 2007.08.23 -
Sunbelt 2.2.907.0 2007.08.23 -
Symantec 10 2007.08.23 -
TheHacker 6.1.8.171 2007.08.23 -
VBA32 3.12.2.3 2007.08.23 -
VirusBuster 4.3.26:9 2007.08.23 -
Webwasher-Gateway 6.0.1 2007.08.23 Riskware.Tool.Reboot.C


escan-log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Thu Aug 23 18:44:19 2007 => Version 9.3.9
Thu Aug 23 18:43:42 2007 => Virus-Datenbank Datum: 8/23/2007
Thu Aug 23 18:44:00 2007 => Virus-Datenbank Datum: 8/23/2007
Thu Aug 23 19:55:55 2007 => Virus-Datenbank Datum: 8/23/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Thu Aug 23 19:19:36 2007 => File C:\System Volume Information\_restore{EBEEBE26-780A-4BA4-AFF6-AA6D2D6407A0}\RP1\A0001288.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Thu Aug 23 18:46:09 2007 => Offending Folder found: C:\Dokumente und Einstellungen\entrance\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Thu Aug 23 18:46:03 2007 => Offending Key found: HKLM\Software\magnet !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Aug 23 19:55:55 2007 => Gefundene Viren: 3
Thu Aug 23 19:55:55 2007 => Anzahl Fehler: 16
Thu Aug 23 19:55:55 2007 => Dauer des Scans bisher: 01:11:20
Thu Aug 23 19:55:55 2007 => Gescannte Dateien: 94951
Thu Aug 23 18:44:19 2007 => Specherüberprüfung: Aktiviert
Thu Aug 23 18:44:19 2007 => Registry Überprüfung: Aktiviert
Thu Aug 23 18:44:19 2007 => System-Ordner Überprüfung: Aktiviert
Thu Aug 23 18:44:19 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu Aug 23 18:44:19 2007 => Überprüfung der Dienste: Aktiviert
Thu Aug 23 18:44:19 2007 => Überprüfung der Festplatten: Deaktiviert
Thu Aug 23 18:44:19 2007 => Überprüfung aller Festplatten :Aktiviert


Ich hoffe, diese Informationen reichen aus.

Alt 23.08.2007, 20:40   #2
.::|||::.
 

grokster & smidfraud & A0001288.exe - Standard

grokster & smidfraud & A0001288.exe



Hinter dem Tool.Reboot steckt smitfraudfix, ist harmlos! Die grokster Spyware findet eScan immer!^^ Auch nichts schlimmes!
Aber kannst du mal diese Datei bei Virustotal auswerten lassen:
Zitat:
C:\DOKUME~1\entrance\LOKALE~1\Temp\HOQLQTVGTRG.exe
Eine .exe im Temp scheint mir sonderbar!?!
Poste das komplette Ergebnis!

Zitat:
Da hat der scan mir noch eine weitere Datei angezeigt.Und zwar die "A0001288.exe",die sich hier versteckt "C:\System Volume Information\_restore{EBEEBE26-780A-4BA4-AFF6-AA6D2D6407A0}\RP1\. Diese Datei hab ich nun bei virustotal überprüft.
Wurde was gefunden? Wenn ja, was?
__________________

__________________

Alt 23.08.2007, 20:40   #3
Sunny
Administrator
> Competence Manager
 

grokster & smidfraud & A0001288.exe - Standard

grokster & smidfraud & A0001288.exe



Hallo und im Trojaner Board!

Dieser Fund ist nur ein kleiner Überbleibsel von einem Schädling, die Meldungen von deinem AV-Programm und die Datei lassen sich so aus der Welt schaffen:


* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)


Gruß
Sunny
__________________
__________________

Alt 23.08.2007, 20:52   #4
Daft
 
grokster & smidfraud & A0001288.exe - Standard

grokster & smidfraud & A0001288.exe



an .::|||::.




Zitat:
Da hat der scan mir noch eine weitere Datei angezeigt.Und zwar die "A0001288.exe",die sich hier versteckt "C:\System Volume Information\_restore{EBEEBE26-780A-4BA4-AFF6-AA6D2D6407A0}\RP1\. Diese Datei hab ich nun bei virustotal überprüft.

Wurde was gefunden? Wenn ja, was?



meinst du das ergebnis von virustotal?
hab ich schon gepostet
Hier nomal

Datei A0001288.exe empfangen 2007.08.23 20:03:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/32 (18.75%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.23 -
AntiVir 7.4.1.63 2007.08.23 -
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.23 -
AVG 7.5.0.484 2007.08.23 Potentially harmful program HackTool.BVR
BitDefender 7.2 2007.08.23 -
CAT-QuickHeal 9.00 2007.08.23 -
ClamAV 0.91 2007.08.23 -
DrWeb 4.33 2007.08.23 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5082 2007.08.23 -
Ewido 4.0 2007.08.23 -
FileAdvisor 1 2007.08.23 -
Fortinet 2.91.0.0 2007.08.23 HackerTool/Reboot
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.23 -
Ikarus T3.1.1.12 2007.08.23 not-a-virus:RiskTool.Win32.Reboot.f
Kaspersky 4.0.2.24 2007.08.23 not-a-virus:RiskTool.Win32.Reboot.f
McAfee 5104 2007.08.23 potentially unwanted program Generic PUP
Microsoft 1.2803 2007.08.23 -
NOD32v2 2480 2007.08.23 -
Norman 5.80.02 2007.08.23 -
Panda 9.0.0.4 2007.08.23 -
Prevx1 V2 2007.08.23 -
Rising 19.37.32.00 2007.08.23 -
Sophos 4.20.0 2007.08.23 -
Sunbelt 2.2.907.0 2007.08.23 -
Symantec 10 2007.08.23 -
TheHacker 6.1.8.171 2007.08.23 -
VBA32 3.12.2.3 2007.08.23 -
VirusBuster 4.3.26:9 2007.08.23 -
Webwasher-Gateway 6.0.1 2007.08.23 Riskware.Tool.Reboot.C

weitere Informationen
File size: 24576 bytes
MD5: f8d97683b922fa73b81bd0778a60f0df
SHA1: ac568d47177f14ce40797a34103b8250e21c6675

oder haste was anderes gemeint.


Hier das Ergebnis von HOQLQTVGTRG.exe

Datei HOQLQTVGTRG.exe empfangen 2007.08.23 20:42:44 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.23 -
AntiVir 7.4.1.63 2007.08.23 -
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.23 -
AVG 7.5.0.484 2007.08.23 -
BitDefender 7.2 2007.08.23 -
CAT-QuickHeal 9.00 2007.08.23 -
ClamAV 0.91 2007.08.23 -
DrWeb 4.33 2007.08.23 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5082 2007.08.23 -
Ewido 4.0 2007.08.23 -
FileAdvisor 1 2007.08.23 -
Fortinet 2.91.0.0 2007.08.23 -
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.23 -
Ikarus T3.1.1.12 2007.08.23 -
Kaspersky 4.0.2.24 2007.08.23 -
McAfee 5104 2007.08.23 -
Microsoft 1.2803 2007.08.23 -
NOD32v2 2480 2007.08.23 -
Norman 5.80.02 2007.08.23 -
Panda 9.0.0.4 2007.08.23 -
Prevx1 V2 2007.08.23 -
Rising 19.37.32.00 2007.08.23 -
Sophos 4.20.0 2007.08.23 -
Sunbelt 2.2.907.0 2007.08.23 -
Symantec 10 2007.08.23 -
TheHacker 6.1.8.171 2007.08.23 -
VBA32 3.12.2.3 2007.08.23 -
VirusBuster 4.3.26:9 2007.08.23 -
Webwasher-Gateway 6.0.1 2007.08.23 -
weitere Informationen
File size: 478080 bytes
MD5: 4842101ea4e1955d1e2d6ef1c4dc8ec2
SHA1: ce56269fb8e813ca5fa31c18905509e7fbb63cd7
packers: BINARYRES



Na denn,ich werd dann mal das tun,was Gc Sunny sagt.


Vielen Dank für die schnellen Antworten und Hilfen.

Antwort

Themen zu grokster & smidfraud & A0001288.exe
abgesicherten modus, ad-aware, adobe, antivir, avira, bho, drivers, einstellungen, excel, fehler, festplatte, firefox, fraud, gainward, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, maßnahme, monitor, mozilla, mozilla firefox, registry, rundll, s-1-5-18, smitfraud, software, system, trend micro, unknown file in winsock lsp, viren, virus, windows, windows xp



Ähnliche Themen: grokster & smidfraud & A0001288.exe


  1. Spyware (grokster, gator ua.) nach escan entfernen:
    Plagegeister aller Art und deren Bekämpfung - 15.06.2008 (2)
  2. Smidfraud-Trojaner? SpyBot hilflos (beim Löschen blue-screen)
    Log-Analyse und Auswertung - 25.12.2007 (11)
  3. grokster, Fujacks und "NULL.Corrupted" Virus
    Plagegeister aller Art und deren Bekämpfung - 14.10.2007 (3)
  4. grokster, Fujacks und "NULL.Corrupted" Virus
    Mülltonne - 11.10.2007 (2)
  5. p2p grokster
    Log-Analyse und Auswertung - 03.03.2006 (1)
  6. Hilfe!!!! wer kann mir helfen, den Trojaner Smidfraud.c zu beseitigen???
    Plagegeister aller Art und deren Bekämpfung - 21.06.2005 (2)
  7. Habe ich smidfraud erledigt?
    Plagegeister aller Art und deren Bekämpfung - 27.05.2005 (7)

Zum Thema grokster & smidfraud & A0001288.exe - Guten Abend! gestern habe ich aus jux mal escan laufen lassen,aber nicht im abgesicherten Modus,normal halt.Überraschenderweise hat der scan grokster und smitfraud entdeckt.Heute hab ich es dann nochmal gemacht,wie es - grokster & smidfraud & A0001288.exe...
Archiv
Du betrachtest: grokster & smidfraud & A0001288.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.