| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: grokster & smidfraud & A0001288.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.08.2007, 19:23
| #1 |
 |  grokster & smidfraud & A0001288.exe Guten Abend! gestern habe ich aus jux mal escan laufen lassen,aber nicht im abgesicherten Modus,normal halt.Überraschenderweise hat der scan grokster und smitfraud entdeckt.Heute hab ich es dann nochmal gemacht,wie es in der Anleitung steht. Da hat der scan mir noch eine weitere Datei angezeigt.Und zwar die "A0001288.exe",die sich hier versteckt "C:\System Volume Information\_restore{EBEEBE26-780A-4BA4-AFF6-AA6D2D6407A0}\RP1\. Diese Datei hab ich nun bei virustotal überprüft. Spybot und Ad-Aware haben nix finden können,obwohl up-to-date. Mein AV meldet au nix. hier de hjt-log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:15:17, on 23.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\TBPanel.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\PROGRA~1\Sony\SsAAD.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe C:\WINDOWS\system32\lxcycoms.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [LXCYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SsAAD.exe] D:\PROGRA~1\Sony\SsAAD.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: HOQLQTVGTRG - Sysinternals - www.sysinternals.com - C:\DOKUME~1\entrance\LOKALE~1\Temp\HOQLQTVGTRG.exe O23 - Service: lxcy_device - - C:\WINDOWS\system32\lxcycoms.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5078 bytes Ergebnisse der Überprüfung der Datei A0001288.exe AhnLab-V3 2007.8.22.0 2007.08.23 - AntiVir 7.4.1.63 2007.08.23 - Authentium 4.93.8 2007.08.23 - Avast 4.7.1029.0 2007.08.23 - AVG 7.5.0.484 2007.08.23 Potentially harmful program HackTool.BVR BitDefender 7.2 2007.08.23 - CAT-QuickHeal 9.00 2007.08.23 - ClamAV 0.91 2007.08.23 - DrWeb 4.33 2007.08.23 - eSafe 7.0.15.0 2007.08.23 - eTrust-Vet 31.1.5082 2007.08.23 - Ewido 4.0 2007.08.23 - FileAdvisor 1 2007.08.23 - Fortinet 2.91.0.0 2007.08.23 HackerTool/Reboot F-Prot 4.3.2.48 2007.08.23 - F-Secure 6.70.13030.0 2007.08.23 - Ikarus T3.1.1.12 2007.08.23 not-a-virus:RiskTool.Win32.Reboot.f Kaspersky 4.0.2.24 2007.08.23 not-a-virus:RiskTool.Win32.Reboot.f McAfee 5104 2007.08.23 potentially unwanted program Generic PUP Microsoft 1.2803 2007.08.23 - NOD32v2 2480 2007.08.23 - Norman 5.80.02 2007.08.23 - Panda 9.0.0.4 2007.08.23 - Prevx1 V2 2007.08.23 - Rising 19.37.32.00 2007.08.23 - Sophos 4.20.0 2007.08.23 - Sunbelt 2.2.907.0 2007.08.23 - Symantec 10 2007.08.23 - TheHacker 6.1.8.171 2007.08.23 - VBA32 3.12.2.3 2007.08.23 - VirusBuster 4.3.26:9 2007.08.23 - Webwasher-Gateway 6.0.1 2007.08.23 Riskware.Tool.Reboot.C escan-log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Thu Aug 23 18:44:19 2007 => Version 9.3.9 Thu Aug 23 18:43:42 2007 => Virus-Datenbank Datum: 8/23/2007 Thu Aug 23 18:44:00 2007 => Virus-Datenbank Datum: 8/23/2007 Thu Aug 23 19:55:55 2007 => Virus-Datenbank Datum: 8/23/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Thu Aug 23 19:19:36 2007 => File C:\System Volume Information\_restore{EBEEBE26-780A-4BA4-AFF6-AA6D2D6407A0}\RP1\A0001288.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Thu Aug 23 18:46:09 2007 => Offending Folder found: C:\Dokumente und Einstellungen\entrance\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Thu Aug 23 18:46:03 2007 => Offending Key found: HKLM\Software\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Aug 23 19:55:55 2007 => Gefundene Viren: 3 Thu Aug 23 19:55:55 2007 => Anzahl Fehler: 16 Thu Aug 23 19:55:55 2007 => Dauer des Scans bisher: 01:11:20 Thu Aug 23 19:55:55 2007 => Gescannte Dateien: 94951 Thu Aug 23 18:44:19 2007 => Specherüberprüfung: Aktiviert Thu Aug 23 18:44:19 2007 => Registry Überprüfung: Aktiviert Thu Aug 23 18:44:19 2007 => System-Ordner Überprüfung: Aktiviert Thu Aug 23 18:44:19 2007 => Überprüfung der Systembereiche: Deaktiviert Thu Aug 23 18:44:19 2007 => Überprüfung der Dienste: Aktiviert Thu Aug 23 18:44:19 2007 => Überprüfung der Festplatten: Deaktiviert Thu Aug 23 18:44:19 2007 => Überprüfung aller Festplatten :Aktiviert Ich hoffe, diese Informationen reichen aus. |
|
23.08.2007, 19:40
| #2 | ||
  | grokster & smidfraud & A0001288.exe Hinter dem Tool.Reboot steckt smitfraudfix, ist harmlos! Die grokster Spyware findet eScan immer!^^ Auch nichts schlimmes!
__________________Aber kannst du mal diese Datei bei Virustotal auswerten lassen: Zitat:
Poste das komplette Ergebnis! Zitat:
__________________ |
|
23.08.2007, 19:40
| #3 |
| Administrator > Competence Manager | grokster & smidfraud & A0001288.exeHallo und  im Trojaner Board!Dieser Fund ist nur ein kleiner Überbleibsel von einem Schädling, die Meldungen von deinem AV-Programm und die Datei lassen sich so aus der Welt schaffen: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Gruß Sunny
__________________ |
|
23.08.2007, 19:52
| #4 |
| | grokster & smidfraud & A0001288.exe an .::|||::. Zitat: Da hat der scan mir noch eine weitere Datei angezeigt.Und zwar die "A0001288.exe",die sich hier versteckt "C:\System Volume Information\_restore{EBEEBE26-780A-4BA4-AFF6-AA6D2D6407A0}\RP1\. Diese Datei hab ich nun bei virustotal überprüft. Wurde was gefunden? Wenn ja, was? meinst du das ergebnis von virustotal? hab ich schon gepostet Hier nomal Datei A0001288.exe empfangen 2007.08.23 20:03:56 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 6/32 (18.75%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.22.0 2007.08.23 - AntiVir 7.4.1.63 2007.08.23 - Authentium 4.93.8 2007.08.23 - Avast 4.7.1029.0 2007.08.23 - AVG 7.5.0.484 2007.08.23 Potentially harmful program HackTool.BVR BitDefender 7.2 2007.08.23 - CAT-QuickHeal 9.00 2007.08.23 - ClamAV 0.91 2007.08.23 - DrWeb 4.33 2007.08.23 - eSafe 7.0.15.0 2007.08.23 - eTrust-Vet 31.1.5082 2007.08.23 - Ewido 4.0 2007.08.23 - FileAdvisor 1 2007.08.23 - Fortinet 2.91.0.0 2007.08.23 HackerTool/Reboot F-Prot 4.3.2.48 2007.08.23 - F-Secure 6.70.13030.0 2007.08.23 - Ikarus T3.1.1.12 2007.08.23 not-a-virus:RiskTool.Win32.Reboot.f Kaspersky 4.0.2.24 2007.08.23 not-a-virus:RiskTool.Win32.Reboot.f McAfee 5104 2007.08.23 potentially unwanted program Generic PUP Microsoft 1.2803 2007.08.23 - NOD32v2 2480 2007.08.23 - Norman 5.80.02 2007.08.23 - Panda 9.0.0.4 2007.08.23 - Prevx1 V2 2007.08.23 - Rising 19.37.32.00 2007.08.23 - Sophos 4.20.0 2007.08.23 - Sunbelt 2.2.907.0 2007.08.23 - Symantec 10 2007.08.23 - TheHacker 6.1.8.171 2007.08.23 - VBA32 3.12.2.3 2007.08.23 - VirusBuster 4.3.26:9 2007.08.23 - Webwasher-Gateway 6.0.1 2007.08.23 Riskware.Tool.Reboot.C weitere Informationen File size: 24576 bytes MD5: f8d97683b922fa73b81bd0778a60f0df SHA1: ac568d47177f14ce40797a34103b8250e21c6675 oder haste was anderes gemeint. Hier das Ergebnis von HOQLQTVGTRG.exe Datei HOQLQTVGTRG.exe empfangen 2007.08.23 20:42:44 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.22.0 2007.08.23 - AntiVir 7.4.1.63 2007.08.23 - Authentium 4.93.8 2007.08.23 - Avast 4.7.1029.0 2007.08.23 - AVG 7.5.0.484 2007.08.23 - BitDefender 7.2 2007.08.23 - CAT-QuickHeal 9.00 2007.08.23 - ClamAV 0.91 2007.08.23 - DrWeb 4.33 2007.08.23 - eSafe 7.0.15.0 2007.08.23 - eTrust-Vet 31.1.5082 2007.08.23 - Ewido 4.0 2007.08.23 - FileAdvisor 1 2007.08.23 - Fortinet 2.91.0.0 2007.08.23 - F-Prot 4.3.2.48 2007.08.23 - F-Secure 6.70.13030.0 2007.08.23 - Ikarus T3.1.1.12 2007.08.23 - Kaspersky 4.0.2.24 2007.08.23 - McAfee 5104 2007.08.23 - Microsoft 1.2803 2007.08.23 - NOD32v2 2480 2007.08.23 - Norman 5.80.02 2007.08.23 - Panda 9.0.0.4 2007.08.23 - Prevx1 V2 2007.08.23 - Rising 19.37.32.00 2007.08.23 - Sophos 4.20.0 2007.08.23 - Sunbelt 2.2.907.0 2007.08.23 - Symantec 10 2007.08.23 - TheHacker 6.1.8.171 2007.08.23 - VBA32 3.12.2.3 2007.08.23 - VirusBuster 4.3.26:9 2007.08.23 - Webwasher-Gateway 6.0.1 2007.08.23 - weitere Informationen File size: 478080 bytes MD5: 4842101ea4e1955d1e2d6ef1c4dc8ec2 SHA1: ce56269fb8e813ca5fa31c18905509e7fbb63cd7 packers: BINARYRES Na denn,ich werd dann mal das tun,was Gc Sunny sagt. Vielen Dank für die schnellen Antworten und Hilfen. |
|
| Themen zu grokster & smidfraud & A0001288.exe |
| abgesicherten modus, ad-aware, adobe, antivir, avira, bho, drivers, einstellungen, excel, fehler, festplatte, firefox, fraud, gainward, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, maßnahme, monitor, mozilla, mozilla firefox, registry, rundll, s-1-5-18, smitfraud, software, system, trend micro, unknown file in winsock lsp, viren, virus, windows, windows xp |
Linear-Darstellung
