| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: e-scan meldet: gain.gator, trojan-downloader, NULLBYTE-spyware und 20 Viren. Was nun?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.10.2007, 21:05
| #1 |
| |  e-scan meldet: gain.gator, trojan-downloader, NULLBYTE-spyware und 20 Viren. Was nun? Hi und guten Abend. Ich habe auf meinem PC verschiedene unbekannte Prozesse entdeckt. Unter anderem: EBUQNWOQRJOBDO.exe Außerdem verursachte seit einiger Zeit einer der svchost.exe-Dienste nach System-Start stets 99% CPU-Last. Alle Ratschläge, die ich dazu hier im Forum fand, habe ich bereits umgesetzt. Folgende Schritte habe ich heute durchgeführt: - HJT scan + LogFile - Ergebnis: keine Auffälligkeiten - silent runners.vbs - Ergebnis: keine Auffälligkeiten - escan nach updates im abgesicherten Modus ausgeführt. Ergebnis: siehe oben. Anschliessend habe ich eine Test-Version von KAV 7.0 heruntergeladen. Installation war jedoch nicht möglich. Obwohl mit Administrator-Rechten im abgesicherten Modus angemeldet, erhalte ich die Fehlermeldung: "Der Systemadministrator hat Richtlinien erlassen, um diese Installation zu verhindern." Ich bitte um Eure Hilfe. Zum Einstieg poste ich mal die Klartext- Auswertung des e-scan, escan_neu und HJT-Logfile Dies ist glaube ich mein erster Beitrag hier; ich hab die Forenregln nochmal gelesen. Wenn mir beim Posten trotzdem irgendwelche Fehler unterlaufen, bitte ich um Nachsicht. So, jetzt freue ich mich über jeden Hinweis. k-pax ------------------------------------------------------------------------ escan - Auswertung: Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\JavaWebStart.isInstalled.1.5.0.0" verweist auf das ungültige Objekt "{5852F5ED-8BF4-11D4-A245-0080C6F74284}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\activex.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\system32\muweb.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\activex.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\muweb.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{02BE569D-7BBD-4451-A955-C0CDFB0695F1}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ------------------------------------------------------------------------- escan_neu vom 04.10.2007 21:08 Uhr: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.4 Sprache: German Virus-Datenbank Datum: 10/4/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Thunderbird\Profiles\pgvgfokh.default\Mail\Local Folders\Persönliche Ordner XP.sbd\Posteingang.sbd\nach Themen.sbd\pandasoft.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\ISP\T-online\T-Online\Software\Virenschutz\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\NIS2005\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\layout.bin infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\Pinnacle.ico infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\Setup.bmp infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\setup.exe infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\setup.ibt infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\setup.ini infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\Setup.inx infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\setup.inx_alt infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\setup.skin infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\Uninstall.ico infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\Daten\Papierkorb+Restored\Dokumente und Einstellungen\Administrator\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\Dokumente und Einstellungen\Default User\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei D:\Downloads\Microsoft\Windows Key Changer\kf151 - keyfinder -.zip/keyfinder.exe/officekey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\MAGIX\Fotos_auf_CD_35\hrpjna01.dat nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\MAGIX\mp3maker_2004_SE\hrpjna01.dat nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\MAGIX\videodeLuxe_0405_SE\hrpjna01.dat nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Office11\W2561404.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Dokumente und Einstellungen\XP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9DMX10X\DC500[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Downloads\anti virus scans\avz4en.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Downloads\Festplatten und Partitionen verwalten\Maxtor Tools\MaxBlastSetup.en.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Downloads\WLAN\WiFiFoFum2Installer.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\install CDs\OFFICE11_ check\W2561404.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 141487 Gefundene Viren: 20 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 156 Dauer des Scans bisher: 02:06:59 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 21:07:31,81 Batchende: 21:07:59,00 -------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:58:51, on 04.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\taskmgr.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\HijackThis\HijackThis.exe O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Schmierblatt] C:\Programme\Schmierblatt\Schmierblatt.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- End of file - 1933 bytes ------------------------------------------------------------------------- ENDE |
|
| Themen zu e-scan meldet: gain.gator, trojan-downloader, NULLBYTE-spyware und 20 Viren. Was nun? |
| .com, abgesicherten modus, antivir, avg, avgnt, avgnt.exe, avira, bho, content.ie5, dateisystem, desktop.ini, drivers, dsl, einstellungen, excel, explorer, fehlermeldung, festplatte, hijack, hijackthis, hosts-datei, internet, internet explorer, logfile, magix, maßnahme, nach updates, prozesse, registry, registry key, richtlinie, scan, schutz, software, systemadministrator, t-online, trend micro, updates, windows, windows xp, wlan |
Linear-Darstellung
