Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Werd CTFMON nicht los

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 29.08.2007, 17:37   #1
tobitobi
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Hallo hab seit einiger Zeit ärger mit nem Virus/Trojan der ne fake CTFMON.exe erstellt hat. Kaspersky hat zwar die Datei ctfmon.exe gelöscht.
Werd das ding aber trotzdem nicht los. Wenn ich laufwerke öffnen möchte geht das nicht ich muss rechtsklicken und auf öffnen klicken. (Es ist ein ominöser Open-Eintrag als Standard gesetzt).
Außerdem erstellt das Ding auf jedem Datenträge nen Ordner "Recycler" sowie "System Volume Information" und eine Autorun.inf
Recycler und Autorun.inf lassen sich löschen die SVInformation nicht - was kann ich tun???

hier erst mal der Hijackthislog

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22:22, on 29.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\M-Audio\Fast Track USB\MAUSBFTInst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\palmOne\Hotsync.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\a\Desktop\ProcessExplorer\procexp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Pando] "C:\Programme\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKUS\S-1-5-18\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe (User 'Default user')
O4 - Startup: palmOne Registration.lnk = C:\Programme\palmOne\register.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Programme\palmOne\Hotsync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} -
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: M-Audio Fast Track Installer (FastTrackInstallerService) - Avid Technology, Inc. - C:\Programme\M-Audio\Fast Track USB\MAUSBFTInst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 3001 bytes

Alt 29.08.2007, 22:49   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Hallo.

Zitat:
hab seit einiger Zeit ärger mit nem Virus/Trojan der ne fake CTFMON.exe
ctfmon.exe ist normalerweise eine legitime Datei in Windows wenn du MS-Office installiert hast.
Welches Programm hat dir denn gemeldet sie sei ein (welcher?) Virus? In welchem Pfad wurde die angeblich schädliche ctfmon.exe gesichtet? Das spielt alles eine Rolle...

Zitat:
(Es ist ein ominöser Open-Eintrag als Standard gesetzt).
Was genau meinst du denn damit?

Zitat:
Außerdem erstellt das Ding auf jedem Datenträge nen Ordner "Recycler" sowie "System Volume Information"
RECYCLER und SYSTEM VOLUME INFORMATION in den Rootverzeichnissen der Partitionen sind Windows-Standardordner!! Ersteres dient für die Papierkörbe, letzeres u.a. um die Infos für die Systemwiederherstellung zu sichern.

In deinem sehr kurzen Logfile sehe ich keine bösen Einträge.

Hast du denn noch andere Anhaltspunkte für Malware? Aus dm Log und deinen Beschreibungen sehe ich nämlich keine.
__________________

__________________

Alt 30.08.2007, 12:57   #3
tobitobi
 
Werd CTFMON nicht los - Icon22

Werd CTFMON nicht los



Hallo Cosinus,
erst mal Danke für die schnelle Antowort
Der Kollege hat sich grad mal wieder ausgebreitet und Kaspersky hat mir den Namen ausgespuckt:
Zitat:
gelöscht: trojanisches Programm Trojan.Win32.VB.aqt Datei: H:\System Volume Information\_restore{50E7311E-462A-4BDF-BE2E-0AC2ACE1053F}\RP41\A0044524.exe
Zu Deinen Fragen:
Zitat:
Was genau meinst du denn damit?
siehe screen shot


Zitat:
ctfmon.exe ist normalerweise eine legitime Datei in Windows wenn du MS-Office installiert hast.
Welches Programm hat dir denn gemeldet sie sei ein (welcher?) Virus? In welchem Pfad wurde die angeblich schädliche ctfmon.exe gesichtet? Das spielt alles eine Rolle...
Hab kein Office installiert und meine CTFMON ist leider verseucht.

Zitat:
RECYCLER und SYSTEM VOLUME INFORMATION in den Rootverzeichnissen der Partitionen sind Windows-Standardordner!! Ersteres dient für die Papierkörbe, letzeres u.a. um die Infos für die Systemwiederherstellung zu sichern.
der Ordner heißt recycleR nicht recycleD habs auch erst nicht gepeilt in diesem Ordner tauchen immer wieder ein paar .dll und .exe dateien auf, sowie eine Autorun.inf die sich auf allen Platten anlegt (z.B. meiner externen Festplatte): Die Autorun.inf sieht folgender maßen aus:
Zitat:
[autorun]
shellexecute=Recycler\ctfmon.exe
shell\Open(&0)\command=Recycler\ctfmon.exe
shell=Open(&0)
Vielleicht kannst Du ja mit diesen Infos mehr Anfangen.

Achso
Zitat:
In deinem sehr kurzen Logfile sehe ich keine bösen Einträge.
Wie kann ich HijackThis ein außführlicheres log machen lassen?
Danke
__________________

Alt 30.08.2007, 13:18   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Zitat:
gelöscht: trojanisches Programm Trojan.Win32.VB.aqt Datei: H:\System Volume Information\_restore{50E7311E-462A-4BDF-BE2E-0AC2ACE1053F}\RP41\A0044524.exe
Schädlinge wurden durch die Systemwiederherstellung in Wiederherstellungspunkte gesichert - du musst die SWH deaktivieren, damit die Dateien darin entfernt werden.

Zitat:
Hab kein Office installiert und meine CTFMON ist leider verseucht.
Dann werte bitte die fragliche Datei bei Virustotal aus und poste die Ergebnisse.

Zitat:
der Ordner heißt recycleR nicht recycleD habs auch erst nicht gepeilt
Das ist schon richtig, der Papierkorb ordner unter Windows2000/XP heißt auch RECYCLER!!
Der Ordner Recycler bdefindet sich direkt im Rootverzeichnis der Partitionen.

Wird diese Autorun.ini denn immer neu angelegt wenn du sie gelöscht hast?

Mach mal bitte folgendes:

1.) eScan (MWAV) nach dieser Anleitung durchführen und Logfile posten.
2.) Mit Blacklight evtl. versteckte Prozesse Dateien und Prozesse aufspüren, poste das Logfile nach dem Scan.
3.) Logfile mit Silentrunners erstellen und hier posten.
4.) Mit Filelist die Inhalte der Systemordner auflisten, dazu so vorgehen:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 30.08.2007, 13:53   #5
tobitobi
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Hier erst mal der Blacklight Log,
hat keine versteckten Prozesse gefunden
Zitat:
08/30/07 14:47:26 [Info]: BlackLight Engine 1.0.64 initialized
08/30/07 14:47:26 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/30/07 14:47:34 [Note]: 7019 4
08/30/07 14:47:34 [Note]: 7005 0
08/30/07 14:48:10 [Note]: 7006 0
08/30/07 14:48:11 [Note]: 7011 1552
08/30/07 14:48:12 [Note]: 7026 0
08/30/07 14:48:12 [Note]: 7026 0
08/30/07 14:48:18 [Note]: FSRAW library version 1.7.1022
08/30/07 14:49:57 [Note]: 2000 1012
08/30/07 14:49:57 [Note]: 2000 1012
08/30/07 14:49:57 [Note]: 2000 1012
08/30/07 14:49:57 [Note]: 2000 1012
08/30/07 14:50:54 [Note]: 7007 0
mehr logs kommen gleich


Alt 30.08.2007, 14:15   #6
tobitobi
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Silentrunners Log
Zitat:
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"(Default)" = "(empty string)" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\(Default) = "scriptproxy"
-> {HKLM...CLSID} = "scriptproxy"
\InProcServer32\(Default) = "c:\programme\mcafee\virusscan\scriptcl.dll" ["McAfee, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für Web-Anti-Virus"
-> {HKLM...CLSID} = "Statistik für Web-Anti-Virus"
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]
<<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\ShellEx.dll" ["Kaspersky Lab"]
MagicISO\(Default) = "{DB85C504-C730-49DD-BEC1-7B39C6103B7A}"
-> {HKLM...CLSID} = "MShellExtMenu Class"
\InProcServer32\(Default) = "C:\Programme\MagicISO\misosh.dll" ["MagicISO, Inc."]
MCVSRIGHTCLICKSCANNER\(Default) = "{162EFDC5-2957-465D-887B-590AF4A7E84D}"
-> {HKLM...CLSID} = "McVSRightclickScanner Class"
\InProcServer32\(Default) = "c:\programme\mcafee\virusscan\mcodsax.dll" ["McAfee, Inc."]
PandoShellExt\(Default) = "{9C150845-2A2D-44CC-90B3-AA03480AA3D2}"
-> {HKLM...CLSID} = "PDShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Pando Networks\Pando\PandoShellExt.dll" ["Pando Networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
MagicISO\(Default) = "{DB85C504-C730-49DD-BEC1-7B39C6103B7A}"
-> {HKLM...CLSID} = "MShellExtMenu Class"
\InProcServer32\(Default) = "C:\Programme\MagicISO\misosh.dll" ["MagicISO, Inc."]
PandoShellExt\(Default) = "{9C150845-2A2D-44CC-90B3-AA03480AA3D2}"
-> {HKLM...CLSID} = "PDShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Pando Networks\Pando\PandoShellExt.dll" ["Pando Networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\ShellEx.dll" ["Kaspersky Lab"]
MagicISO\(Default) = "{DB85C504-C730-49DD-BEC1-7B39C6103B7A}"
-> {HKLM...CLSID} = "MShellExtMenu Class"
\InProcServer32\(Default) = "C:\Programme\MagicISO\misosh.dll" ["MagicISO, Inc."]
MCVSRIGHTCLICKSCANNER\(Default) = "{162EFDC5-2957-465D-887B-590AF4A7E84D}"
-> {HKLM...CLSID} = "McVSRightclickScanner Class"
\InProcServer32\(Default) = "c:\programme\mcafee\virusscan\mcodsax.dll" ["McAfee, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\a\Eigene Dateien\bga.bmp"


Startup items in "a" & "All Users" startup folders:
---------------------------------------------------

C:\Dokumente und Einstellungen\a\Startmenü\Programme\Autostart
"palmOne Registration" -> shortcut to: "C:\Programme\palmOne\register.exe /remind /language=DE /INTL="true" /_NBL="true" /PRNM="palmOne"" ["palmOne/Leader Technologies"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"HOTSYNCSHORTCUTNAME" -> shortcut to: "C:\Programme\palmOne\Hotsync.exe -logon" ["PalmSource, Inc"]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
"McQcTask" -> launches: "c:\programme\mcafee\mqc\QcConsol.exe 14 0" ["McAfee, Inc."]
"McDefragTask" -> launches: "c:\programme\mcafee\mqc\QcConsol.exe "C:\WINDOWS\system32\defrag.exe" C: -f" ["McAfee, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für Web-Anti-Virus"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll" ["Kaspersky Lab"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Statistik für Web-Anti-Virus"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

M-Audio Fast Track Installer, FastTrackInstallerService, "C:\Programme\M-Audio\Fast Track USB\MAUSBFTInst.exe" ["Avid Technology, Inc."]
McAfee HackerWatch Service, McAfee HackerWatch Service, ""C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe"" ["McAfee, Inc."]
McAfee Network Agent, McNASvc, ""c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe"" ["McAfee, Inc."]
McAfee Protection Manager, mcpromgr, "C:\PROGRA~1\McAfee\MSC\mcpromgr.exe" ["McAfee, Inc."]
McAfee Real-time Scanner, McShield, "C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe" ["McAfee, Inc."]
McAfee Redirector Service, McRedirector, "c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe" ["McAfee, Inc."]
McAfee Scanner, McODS, "C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe" ["McAfee, Inc."]
McAfee Services, mcmscsvc, "C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe" ["McAfee, Inc."]
McAfee SystemGuards, McSysmon, "C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe" ["McAfee, Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON V6 2KMonitor\Driver = "EBPMON24.DLL" ["SEIKO EPSON CORPORATION"]


---------- (launch time: 2007-08-30 15:12:07)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 83 seconds, including 2 seconds for message boxes)

Alt 30.08.2007, 14:54   #7
tobitobi
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Bin noch am Scannen sind 200 gig zu scannen deswegen dauerts sicher noch ein bisschen

Die sachen hat er aber schon gefunden... jetzt einfach regedit und Einträge löschen?
Zitat:
15:48:35 2007 => Checking MountPoints2 Registry Key...
Thu Aug 30 15:48:35 2007 => Executable Command Found in J\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Thu Aug 30 15:48:35 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\J !!!
Thu Aug 30 15:48:35 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Thu Aug 30 15:48:35 2007 => Executable Command Found in M\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Thu Aug 30 15:48:35 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\M !!!
Thu Aug 30 15:48:35 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Thu Aug 30 15:48:35 2007 => Executable Command Found in {b044bcfe-cfe8-11db-93ac-0013d4d381d5}\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Thu Aug 30 15:48:35 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b044bcfe-cfe8-11db-93ac-0013d4d381d5} !!!
Thu Aug 30 15:48:35 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Thu Aug 30 15:48:35 2007 => Executable Command Found in {be6bcf56-3d0f-11dc-941f-0015f235939e}\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Thu Aug 30 15:48:35 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{be6bcf56-3d0f-11dc-941f-0015f235939e} !!!
Thu Aug 30 15:48:35 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Thu Aug 30 15:48:35 2007 => Executable Command Found in {be6bcf59-3d0f-11dc-941f-0015f235939e}\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Thu Aug 30 15:48:35 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{be6bcf59-3d0f-11dc-941f-0015f235939e} !!!
Thu Aug 30 15:48:35 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Thu Aug 30 15:48:35 2007 => Executable Command Found in {e6014bce-1538-11dc-93f5-0015f235939e}\Shell\Autoplay\DropTarget\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Thu Aug 30 15:48:35 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6014bce-1538-11dc-93f5-0015f235939e} !!!
Thu Aug 30 15:48:35 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Alt 30.08.2007, 15:48   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Hallo,

erstmal zum Silentrunners-Logfile. Da sind mir folgende Dinge aufgefallen:

Den Spybot-Teatimer kannst du dir schenken, der ist nicht zu empfehlen.
Adobe Acrobat Reader solltest du durch die aktuelle Version 8.1 ersetzen.
Kennst du das Programm Magic ISO und das vonm Pando Networks?

Böses ist anhand des Silentrunners Log aber nicht zu sehen.

Warten wir ab, bis eScan durch ist, dann macht es erst Sinn das Log auszuwerten (beachte den Punkt mit der FIND.BAT in der Anleitung).
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 30.08.2007, 17:21   #9
tobitobi
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Pando und MagicIso kenn ich beide sind von mir installiert.
Und Teatimer werd ich mal verbannen.

Alt 30.08.2007, 17:56   #10
tobitobi
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Hier der eScan log
Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.1
Sprache: German
Virus-Datenbank Datum: 8/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei M:\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei J:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
Datei M:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcmscins\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\virusscan\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\misp\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\quickclean\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcpscheduler\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\shredder\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\emailscan\mcinst
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\J !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\M !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b044bcfe-cfe8-11db-93ac-0013d4d381d5} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{be6bcf56-3d0f-11dc-941f-0015f235939e} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{be6bcf59-3d0f-11dc-941f-0015f235939e} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6014bce-1538-11dc-93f5-0015f235939e} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in J\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Executable Command Found in M\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Executable Command Found in {b044bcfe-cfe8-11db-93ac-0013d4d381d5}\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Executable Command Found in {be6bcf56-3d0f-11dc-941f-0015f235939e}\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Executable Command Found in {be6bcf59-3d0f-11dc-941f-0015f235939e}\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Executable Command Found in {e6014bce-1538-11dc-93f5-0015f235939e}\Shell\Autoplay\DropTarget\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\system32\msvcrt10.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\SYSTEM32\msvcrt10.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\a\Eigene Dateien\msvcrt10\msvcrt10.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...

~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 189337
Gefundene Viren: 17
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 52
Dauer des Scans bisher: 03:02:45
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:53:36,81
Batchende: 18:53:50,67

Alt 30.08.2007, 18:44   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Zitat:
C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Das scheint der Eintrag zu sein. Hier ist tatsächlich RECYCLED als Ordner angegeben, aber wo der sich befindet steht nirgends.
Du könntest mal diese schadhafte ctfmon.exe durch die Windowssuche ausfindig machen. Such entweder nach dem recycled-Ordner, in irgendeinem muss die cftmon ja drin sein, oder du suchst gleich nach ctfmon.exe - durchsuch die gesamte Systempartition, die könnte überall liegen. Oder doch in der Rootpartition?
Naja, wenn du sie ausfindig gemacht hast, werte sie bei Virustotal aus und poste bitte die Ergebnisse.

Zitat:
Offending Key found:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b044bcfe-cfe8-11db-93ac-0013d4d381d5} !!!
Ih, der Eintrag sieht unschön aus...navigere bitte mal mit regedit zum oben fettgedruckten Schlüssel und exportiere ihn in eine *.reg-Datei - öffne anschließend diese reg-Datei mit dem Editor (notepad.exe) und poste hier den Inhalt. Exportiere am besten den gesamten MountPoints2 Schlüssel.

Acker auch bitte noch die anderen Punkte ab!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 30.08.2007, 20:23   #12
tobitobi
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



War ein bisschen voreilig hab vorhin schon gelöscht.
Es gab jeweils noch nen unter"ordner" namens shell - den hab ich gelöscht darin war der eintrag -
Zitat:
C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
das ist was noch da ist unter {b044bcfe-cfe8-11db-93ac-0013d4d381d5}
Zitat:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b044bcfe-cfe8-11db-93ac-0013d4d381d5}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,01,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,00,00,10,00,00,09,00,00,00
CTFMON find ich jetzt weder auf den platten noch unter mountpoint2 in der registry das einzige wo's noch zu finden ist is iner registry unter:
Zitat:
Schlüsselname: HKEY_USERS\S-1-5-21-527237240-839522115-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 30.08.2007 - 20:43
Wert 0
Name: 000
Typ: REG_SZ
Daten: ctfmon
Achso statt open ist jetzt suchen die standard funktion bei doppelklick auf die festplatten. -> es öfnet sich dann auch die windows suche

Alt 30.08.2007, 20:42   #13
tobitobi
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Hab bei http://vil.nai.com/vil/content/v_140684.htm
folgendes gefunden
Zitat:
Overview -


This trojan masquerades as ctfmon.exe and copies itself in a fake Recycle Bin folder that it creates. It also tries to configure the system to execute the trojan when a remote machine tries to access a drive on infected machine via network share.




Aliases
TROJ_VB.BDN (Panda Antivirus)
Trojan.Recycle (Doctor Web)
Trojan.Win32.VB.aqt (Kaspersky)
Characteristics -


This trojan purports to be a legitimate file ctfmon.exe by its name and icon. It copies itself in a fake Recycle Bin folder that it creates. It also tries to configure the system to execute the trojan when a remote machine tries to access a drive on infected machine via network share.

On execution this malware adds the following files and folders on each drive
%Drive%:\autorun.inf
%Drive%:\Recycled\desktop.ini
%Drive%:\Recycled\INFO2
%Drive%:\Recycled\Recycled\ctfmon.exe

Where %Drive% represents the Drive Letters.

The contents of desktop.ini file are:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

This causes windows to think that this folder contains recycle bin data. Desktop.ini is created as a hidden system file.


The contents of the autorun.inf file are:
[autorun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(&O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(&0)

Now if the folder in which this autorun.inf resides is shared and set for autoplay, then any remote computer accessing this share will end up executing the trojan file and getting infected too in a similar manner. This autorun.inf file also overrides the "open" command of the context menu (displayed on right click) to run the trojan when a user right-clicks and selects open.

Alt 30.08.2007, 21:00   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Werd CTFMON nicht los - Standard

Werd CTFMON nicht los



Fraglich, ob hier eine Bereinigung noch Sinn macht.
Es kann ein ähnlicher Schädling sein, der aber noch weitere versteckte Dateien/Prozesse anlegt.

Wenn du wirklich sicher gehen willst, musst du neu aufsetzen.
Sobald es um versteckte Dateien geht, musst du die Festplatte von einem Fremdsystem untersuchen lassen, um einigermaßen verlässliche Angaben zu bekommen. Das Fremdsystem, z.B. ein BartPE bzw. UBCD4WIN oder auch ein Knoppix, lädt ein eigenes Betriebssystem, das sauber ist. So wird sichergestellt, dass etwaige Malware die Scanergebnisse nicht beeinflussen kann.

Aber selbst dann kannst du nicht sicher sein, dass alles entfernt wurde. Und schließlich musst du dir erstmal so eine Knoppix oder BartPE-CD besorgen, von dem jetzigen System aus darfst du es nicht erstellen, nur von einem garantiert sauberen aus.

Ein Neuaufsetzen ist nicht aufwendiger, aber danach kannst du sicher sein, ein sauberes OS zu haben.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Werd CTFMON nicht los
adobe, bho, ctfmon.exe, dateien, desktop, dll, einstellungen, explorer, fake, hijack, hkus\s-1-5-18, internet, internet explorer, kaspersky, laufwerke, löschen, micro, opera, ordner, programme, rundll, s-1-5-18, system, system volume information, system32, trend micro, träge, usb, windows, windows xp




Ähnliche Themen: Werd CTFMON nicht los


  1. Positive Finds - ich werd das nicht los
    Plagegeister aller Art und deren Bekämpfung - 06.02.2015 (33)
  2. click compare und co. werd ich einfach nicht los :(((
    Plagegeister aller Art und deren Bekämpfung - 17.09.2014 (21)
  3. Nav-link eingefangen und ich werd ihn nicht mehr los
    Plagegeister aller Art und deren Bekämpfung - 18.11.2013 (13)
  4. W32/Patched.UC werd ihn nicht los!
    Plagegeister aller Art und deren Bekämpfung - 16.05.2013 (10)
  5. delta search - ich werd das nicht wieder los :-(
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (13)
  6. BKA Trojaner zwar identifiziert(über malware: ctfmon.ink) kann ihn aber nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.09.2012 (3)
  7. GVU Trojaner 2.07, MBAM nicht ausführbar, ctfmon.lnk @Autorun und weitere Dateien schreibgeschützt
    Log-Analyse und Auswertung - 30.07.2012 (2)
  8. TR/Crypt.XPack.GEN3 - ich werd ihn nicht los
    Plagegeister aller Art und deren Bekämpfung - 21.10.2010 (1)
  9. Werd Rootkit nicht mehr los
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (1)
  10. Hab einen Virus und werd ihn nicht los
    Log-Analyse und Auswertung - 31.01.2009 (1)
  11. HILFE!Hab einen Virus und werd ihn nicht los
    Mülltonne - 01.10.2008 (0)
  12. Cid Popup - ich werd´s nicht los
    Mülltonne - 30.04.2008 (0)
  13. Ich werd die adware nicht los...
    Log-Analyse und Auswertung - 19.09.2005 (3)
  14. internat.exe werd ich nicht los
    Plagegeister aller Art und deren Bekämpfung - 05.08.2005 (4)
  15. Ich werd den Müll nicht los!
    Log-Analyse und Auswertung - 07.06.2005 (5)
  16. Trojaner und ich werd sie nicht los
    Plagegeister aller Art und deren Bekämpfung - 02.04.2005 (2)
  17. BDS/Agent.A werd ihn nicht los
    Plagegeister aller Art und deren Bekämpfung - 28.10.2004 (33)

Zum Thema Werd CTFMON nicht los - Hallo hab seit einiger Zeit ärger mit nem Virus/Trojan der ne fake CTFMON.exe erstellt hat. Kaspersky hat zwar die Datei ctfmon.exe gelöscht. Werd das ding aber trotzdem nicht los. Wenn - Werd CTFMON nicht los...
Archiv
Du betrachtest: Werd CTFMON nicht los auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.