| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: unimontr.exe bzw. tr/inject.bz.2Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.11.2007, 17:18
| #1 |
 |  unimontr.exe bzw. tr/inject.bz.2 Hallo Leute, ich bin entsetzt! Habe mir gerade antivir installiert und machen einen scan. Der findet immer wieder unimontr.exe bzw. tr/inject.bz.2. Das ist laut Antivir ein trojanisches Pferd, scheint sich nach dem Löschen selbst wiederherzustellen. Entsetzt bin ich deswegen, weil Antivir weitere 26 (!) Funde aufweist. Das Log von HJT vor ca. einer Woche hatte scheinbar alle diese Dinge nicht gefunden. Ich werde das vollständige Ergebnis posten. Win XP SP1 (jaja, diese Woche kommt noch SP2 mit allen Updates drauf!). |
|
05.11.2007, 17:57
| #2 |
| | unimontr.exe bzw. tr/inject.bz.2 Hier nun der Antivir-Report. Sieht nicht gut aus, oder?
__________________ AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Montag, 5. November 2007 14:50 Es wird nach 916338 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Plattform: Windows XP Windowsversion: (Service Pack 1) [5.1.2600] Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung classic\sysscan.avp Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +Netscape/Mozilla Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 5. November 2007 14:50 Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <SYSTEM> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\syszmmh.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Tiny.TA [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a22900.qua' verschoben! C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\Microsoft\Vorlagen\WWMAGIC2.DOT [FUND] Enthält verdächtigen Code: HEUR/Macro.Word95 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '477c2a76.qua' verschoben! C:\Dokumente und Einstellungen\Heike\Lokale Einstellungen\Temp\lulcomutil59.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479b2e7d.qua' verschoben! C:\Dokumente und Einstellungen\Heike\Lokale Einstellungen\Temp\syscomutil59.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a22eb0.qua' verschoben! C:\Dokumente und Einstellungen\Heike\Lokale Einstellungen\Temp\utislcomutil59.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47982eb9.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP10\A0001256.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c41.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP10\A0001292.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c4a.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP11\A0001347.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c59.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP12\A0001467.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c67.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP12\A0001511.dll [FUND] Ist das Trojanische Pferd TR/Banker.IID [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c84.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP13\A0001526.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c8b.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP13\A0001560.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c96.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP14\A0001569.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c9c.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP14\A0001646.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3ca2.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP14\A0001712.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cab.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP14\A0001729.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cb0.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP15\A0001759.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cb5.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP16\A0001795.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cbe.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP18\A0001872.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cc5.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP19\A0001890.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cce.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP19\A0001903.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Tiny.TA [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cd3.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP8\A0001142.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cd7.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP8\A0001152.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cdb.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP8\A0001162.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cde.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP9\A0001196.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3ce3.qua' verschoben! C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP9\A0001204.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3ce6.qua' verschoben! C:\WINDOWS\flsunit32.dll [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003 [WARNUNG] Die Datei konnte nicht gelöscht werden! C:\WINDOWS\unimontr.exe [FUND] Ist das Trojanische Pferd TR/Inject.BZ.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47983f26.qua' verschoben! C:\WINDOWS\unitserv.dll [FUND] Ist das Trojanische Pferd TR/Banker.IID [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47983f64.qua' verschoben! C:\WINDOWS\system32\reset5.dll [FUND] Enthält Erkennungsmuster eines vermutlich beschädigten Samples CC/UKMalw.NA [WARNUNG] Die Datei wurde ignoriert. C:\WINDOWS\system32\srvany.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.SRunner.C4-Programmes [WARNUNG] Die Datei wurde ignoriert. C:\WINDOWS\system32\TFTP4036 [FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.109056.3.A [WARNUNG] Die Datei wurde ignoriert. 29 Viren bzw. unerwünschte Programme wurden gefunden 4 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 28 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 108573 Dateien ohne Befall 3362 Archive wurden durchsucht 6 Warnungen 0 Hinweise |
|
05.11.2007, 17:59
| #3 |
| Administrator > Competence Manager  | unimontr.exe bzw. tr/inject.bz.2 Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab: Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis (nur diese Version benutzen, nicht die BETA-Version!) -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
__________________ |
|
05.11.2007, 21:21
| #4 |
| | unimontr.exe bzw. tr/inject.bz.2 So, hier nun der neue Antivir-Report (ein paar sind übrig geblieben nach dem ersten Scan): AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Montag, 5. November 2007 18:49 Es wird nach 916338 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Plattform: Windows XP Windowsversion: (Service Pack 1) [5.1.2600] Beginn des Suchlaufs: Montag, 5. November 2007 18:49 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '25402' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'd:\avira\antivir personaledition classic\avscan.exe' Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\wuauclt.exe' Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\wuauclt.exe' Durchsuche Prozess 'wpabaln.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\wpabaln.exe' Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'D:\Avira\AntiVir PersonalEdition Classic\avcenter.exe' Durchsuche Prozess 'naPrdMgr.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe' Durchsuche Prozess 'PQV2iSvc.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\Drive Image 7.0\Agent\PQV2iSvc.exe' Durchsuche Prozess 'Tablet.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\Tablet.exe' Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\svchost.exe' Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\nvsvc32.exe' Durchsuche Prozess 'VsTskMgr.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\McAffee\VsTskMgr.exe' Durchsuche Prozess 'Mcshield.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\McAffee\Mcshield.exe' Durchsuche Prozess 'FrameworkService.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\Programme\Network Associates\Common Framework\FrameworkService.exe' Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe' Durchsuche Prozess 'gearsec.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\GEARSec.exe' Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'D:\Avira\AntiVir PersonalEdition Classic\sched.exe' Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\alg.exe' Durchsuche Prozess 'TabUserW.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\system32\WTablet\TabUserW.exe' Durchsuche Prozess 'LxUpdateManager.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe' Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'D:\Acrobat 5.0\Distillr\AcroTray.exe' Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe' Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\Programme\Messenger\msmsgs.exe' Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'D:\FIREFOX\FIREFOX.EXE' Durchsuche Prozess 'pdfSaver3.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe' Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\ctfmon.exe' Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe' Durchsuche Prozess 'SERVIC~1.EXE' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE' Durchsuche Prozess 'DataLayer.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe' Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'D:\QuickTime 5.0\qttask.exe' Durchsuche Prozess 'delttray.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\DeltTray.exe' Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe' Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\Programme\Java\jre1.5.0_05\bin\jusched.exe' Durchsuche Prozess 'UpdaterUI.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\Programme\Network Associates\Common Framework\UpdaterUI.exe' Durchsuche Prozess 'shstat.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\McAffee\SHSTAT.EXE' Durchsuche Prozess 'INSTAN~1.EXE' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'D:\TEXTBR~1\Bin\INSTAN~1.EXE' Durchsuche Prozess 'WFXSNT40.EXE' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\wfxsnt40.exe' Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\Explorer.EXE' Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'D:\Avira\AntiVir PersonalEdition Classic\avguard.exe' Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\system32\spoolsv.exe' Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\svchost.exe' Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\svchost.exe' Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\System32\svchost.exe' Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\system32\svchost.exe' Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\system32\lsass.exe' Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\system32\services.exe' Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\system32\winlogon.exe' Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\system32\csrss.exe' Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Modul ist OK -> 'C:\WINDOWS\\System32\smss.exe' Es wurden '48' Prozesse mit '48' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0057 Masterbootsektor HD1 [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. C:\WINDOWS\system32\ WFXSNT40.EXE [HINWEIS] HKEY_LOCAL_MACHINE\wfxsnt40.exe d:\TextBridge\Bin\ InstantAccess.exe [HINWEIS] HKEY_LOCAL_MACHINE\d:\TEXTBR~1\Bin\INSTAN~1.EXE /h d:\TextBridge\Bin\ RegisterDropHandler.exe [HINWEIS] HKEY_LOCAL_MACHINE\d:\TEXTBR~1\Bin\REGIST~1.EXE C:\McAffee\ shstat.exe [HINWEIS] HKEY_LOCAL_MACHINE\"C:\McAffee\SHSTAT.EXE" /STANDALONE C:\WINDOWS\system32\ rundll32.exe [HINWEIS] HKEY_LOCAL_MACHINE\RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup C:\WINDOWS\system32\ nvcpl.dll [HINWEIS] HKEY_LOCAL_MACHINE\RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup C:\WINDOWS\system32\ nwiz.exe [HINWEIS] HKEY_LOCAL_MACHINE\nwiz.exe /install C:\WINDOWS\system32\ rundll32.exe [HINWEIS] HKEY_LOCAL_MACHINE\RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit C:\WINDOWS\system32\ nvmctray.dll [HINWEIS] HKEY_LOCAL_MACHINE\RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit C:\Programme\Java\jre1.5.0_05\bin\ jusched.exe [HINWEIS] HKEY_LOCAL_MACHINE\C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\WINDOWS\system32\ NeroCheck.exe [HINWEIS] HKEY_LOCAL_MACHINE\C:\WINDOWS\system32\NeroCheck.exe C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\ oss_reinstall.exe [HINWEIS] HKEY_LOCAL_MACHINE\C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe [0] Archivtyp: ZIP SFX (self extracting) --> icudt32l.dat C:\WINDOWS\system32\ delttray.exe [HINWEIS] HKEY_LOCAL_MACHINE\DeltTray.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\ DataLayer.exe [HINWEIS] HKEY_LOCAL_MACHINE\C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe D:\InCD\ InCD.exe [HINWEIS] HKEY_LOCAL_MACHINE\D:\InCD\InCD.exe d:\TextBridge\Bin\ RegisterDropHandler.exe [HINWEIS] HKEY_LOCAL_MACHINE\d:\TEXTBR~1\Bin\REGIST~1.EXE C:\WINDOWS\system32\ crypt32.dll [HINWEIS] HKEY_LOCAL_MACHINE\crypt32.dll C:\WINDOWS\system32\ cryptnet.dll [HINWEIS] HKEY_LOCAL_MACHINE\cryptnet.dll C:\WINDOWS\system32\ cscdll.dll [HINWEIS] HKEY_LOCAL_MACHINE\cscdll.dll C:\WINDOWS\system32\ reset5.dll [FUND] Enthält Erkennungsmuster eines vermutlich beschädigten Samples CC/UKMalw.NA [HINWEIS] HKEY_LOCAL_MACHINE\reset5.dll [WARNUNG] Die Datei wurde ignoriert. [FUND] Enthält Erkennungsmuster eines vermutlich beschädigten Samples CC/UKMalw.NA C:\WINDOWS\system32\ wlnotify.dll [HINWEIS] HKEY_LOCAL_MACHINE\wlnotify.dll C:\WINDOWS\system32\ wlnotify.dll [HINWEIS] HKEY_LOCAL_MACHINE\wlnotify.dll C:\WINDOWS\system32\ sclgntfy.dll [HINWEIS] HKEY_LOCAL_MACHINE\sclgntfy.dll C:\WINDOWS\system32\ wlnotify.dll [HINWEIS] HKEY_LOCAL_MACHINE\WlNotify.dll C:\WINDOWS\system32\ wlnotify.dll [HINWEIS] HKEY_LOCAL_MACHINE\wlnotify.dll C:\WINDOWS\system32\ wlnotify.dll [HINWEIS] HKEY_LOCAL_MACHINE\wlnotify.dll C:\WINDOWS\system32\ ctfmon.exe [HINWEIS] HKEY_CURRENT_USER\C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\ msmsgs.exe [HINWEIS] HKEY_CURRENT_USER\"C:\Programme\Messenger\msmsgs.exe" /background C:\Programme\Google\GoogleToolbarNotifier\ GoogleToolbarNotifier.exe [HINWEIS] HKEY_CURRENT_USER\C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\ unimontr.exe [FUND] Ist das Trojanische Pferd TR/Inject.BZ.2 [HINWEIS] HKEY_CURRENT_USER\C:\WINDOWS\unimontr.exe [WARNUNG] Die Datei wurde ignoriert. [FUND] Ist das Trojanische Pferd TR/Inject.BZ.2 C:\WINDOWS\system32\ userinit.exe [HINWEIS] HKEY_LOCAL_MACHINE\C:\WINDOWS\system32\userinit.exe, C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ Acrobat Assistant.lnk [HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk D:\Acrobat 5.0\Distillr\ acrotray.exe [HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ Adobe Reader - Schnellstart.lnk [HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk C:\Programme\Adobe\Acrobat 7.0\Reader\ reader_sl.exe [HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ desktop.ini [HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini C:\WINDOWS\system32\ desktop.ini [HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini C:\WINDOWS\system32\ desktop.ini [HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini C:\WINDOWS\system32\ desktop.ini [HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ Lexware Info Service.lnk [HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Lexware Info Service.lnk C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\ LxUpdateManager.exe [HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Lexware Info Service.lnk C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\ Adobe Gamma.lnk [HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\Adobe Gamma.lnk C:\Programme\Gemeinsame Dateien\Adobe\Calibration\ Adobe Gamma Loader.exe [HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\Adobe Gamma.lnk C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\ desktop.ini [HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\desktop.ini C:\WINDOWS\system32\ desktop.ini [HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\desktop.ini C:\WINDOWS\system32\ desktop.ini [HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\desktop.ini C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\ TabUserW.exe.lnk [HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\TabUserW.exe.lnk C:\WINDOWS\system32\WTablet\ TabUserW.exe [HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\TabUserW.exe.lnk C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\ desktop.ini [HINWEIS] HKEY_USERS\C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini Die Registry wurde durchsucht ( '50' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Der Suchlauf wurde vollständig durchgeführt. 3368 Verzeichnisse wurden überprüft 106729 Dateien wurden geprüft 8 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 29 Dateien konnten nicht durchsucht werden 106721 Dateien ohne Befall 3411 Archive wurden durchsucht 35 Warnungen 0 Hinweise 25402 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden ------------------------- Und hier das HJT-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 21:19:30, on 05.11.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\wfxsnt40.exe D:\TEXTBR~1\Bin\INSTAN~1.EXE C:\McAffee\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\DeltTray.exe D:\QuickTime 5.0\qttask.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe D:\FIREFOX\FIREFOX.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe D:\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\WINDOWS\system32\WTablet\TabUserW.exe D:\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\McAffee\Mcshield.exe C:\McAffee\VsTskMgr.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Tablet.exe C:\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINDOWS\System32\wpabaln.exe C:\WINDOWS\System32\wuauclt.exe D:\Thunderbird\thunderbird.exe D:\Firefox\firefox.exe D:\HJT\This.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\eBay\Toolbar\eBayTB.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\eBay\Toolbar\eBayTB.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [InstantAccess] d:\TEXTBR~1\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] d:\TEXTBR~1\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [ShStatEXE] "C:\McAffee\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime 5.0\qttask.exe" -atboottime O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\TEXTBR~1\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe" O4 - HKCU\..\Run: [NBJ] "D:\Nero6\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [Creative Audio Studio V2.8] C:\WINDOWS\unimontr.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html O8 - Extra context menu item: Suche - res://D:\eBay\Toolbar\eBayTb.dll/RCSearch.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {AFFBDA02-5D3A-11D9-AAC8-91EC5E497716} (ActiveXShadow Control) - https://www.ll2go.com/html/x-file/000/www.ll2go.com/x-res/ActiveXShadow_de.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\McAffee\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\McAffee\VsTskMgr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing) O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe O23 - Service: TSMService - T-Systems Nova, Berkom - d:\T-DSL SpeedManager\tsmsvc.exe O23 - Service: V2i Protector - PowerQuest Corporation - C:\Drive Image 7.0\Agent\PQV2iSvc.exe Für eScan habe ich heute keinen Nerv mehr. Ich werde mir diese Woche auf jeden Fall noch SP2 draufspielen. Danke für Eure Hilfe. |
|
06.11.2007, 13:47
| #5 |
| | unimontr.exe bzw. tr/inject.bz.2 So, und nun zu guter Letzt der eScan-Bericht: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.5.1 Sprache: German C:\DOKUME~1\Heike\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with opinionbar Spyware/Adware ({6607c683-ae7c-11d4-acd7-0050dac291a2})! Action taken: Keine Aktion vorgenommen. System found infected with multipassrecover Spyware (readme.txt)! Action taken: Keine Aktion vorgenommen. System found infected with whenu.desktop toolbar Spyware/Adware (toolbar.lnk)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\unimontr.exe infiziert von "Trojan.Win32.Inject.bz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\unimontr.exe infiziert von "Trojan.Win32.Inject.bz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\flsunit32.dll infiziert von "Backdoor.Win32.Small.or" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\unimontr.exe infiziert von "Trojan.Win32.Inject.bz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\ahead\nero backitup\info files\readme.txt Offending file found: C:\Dokumente und Einstellungen\Heike\Recent\toolbar.lnk ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\datacaching !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\WINDOWS\System32\TFTP4036 nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 13:36:14,58 Batchende: 13:36:18,34 --------- Wie geht es jetzt weiter? |
|
06.11.2007, 15:28
| #6 |
| /// Helfer-Team    | unimontr.exe bzw. tr/inject.bz.2 Moin, du machst IMHO den zweiten oder dritten Schritt vor dem ersten. Nachdem du seit mindestens einer Woche an deinem System herumgefrickelt hast und eScan jetzt einen Backdoor-Befall feststellt, solltest du deine Kiste einmal neu aufsetzen und vernünftig absichern, dann hast du Ruhe (wenn du nach Cidres Anleitung im entsprechenden Unterforum vorgehst). Danach kannst du AntiVir oder ein anderes AV-Produkt deiner Wahl installieren; es sollte dann keinen Befall mehr finden. Ohne das immer noch fehlende SP2 jedenfalls ist weiteres Herumdoktern an deinem System eher sinnlos. Übrigens, dass HJT und AntiVir nicht dasselbe finden, braucht dich nicht zu verwirren. HJT listet Starteinträge (oder besser gesagt eine Auswahl davon  ), während ein Virenscanner, vereinfacht gesagt, vor allem nach infizierten Dateien sucht, also z. B. auch nach Dateien, die auf der Festplatte liegen, beim Rechnerstart aber nicht unbedingt mitstarten.
__________________ --> unimontr.exe bzw. tr/inject.bz.2 |
|
06.11.2007, 15:41
| #7 |
| | unimontr.exe bzw. tr/inject.bz.2 Gibt es denn keine Möglichkeit, die Dinger loszuwerden ohne Neuinstallation? Ich meine, XP mit SP2 drüberinstallieren und voher oder nachher die Viren bekämpfen? Ja, ich weiß... alles schon x-mal geklärt. Ich scheue mich nur davor, weil es nach endloser Arbeit aussieht, bis alles wieder funktioniert, wenn das überhaupt geht. Das System als solches läuft nämlich äußerst stabil. Vielleicht gibt es ja Tricks, den Neuinstallationsvorgang für die einzelnen Hardware-/Software-Komponenten abzukürzen? |
|
06.11.2007, 16:18
| #8 | |
| /// Helfer-Team | unimontr.exe bzw. tr/inject.bz.2Zitat:
Ausnahme: Backdoor-Befall; in diesem Fall kann ein vertrauenswürdiges System nicht wiederhergestellt werden, jedenfalls nicht mit den Mitteln der Ferndiagnose und Fernheilung  , die ein Forum bietet. Wenn eScan mit der Backdoor-Diagnose recht hat, scheidet der Weg der Bereinigung vernünftigerweise aus.Wenn trotzdem eine Bereinigung versucht wird, muss abgewogen werden, ob der zu erwartende, meist nicht geringe zeitliche Aufwand und das "Restrisiko", dass etwas zurückbleibt auf dem System, in einem vernünftigen Verhältnis stehen zu dem erhofften Nutzen (nämlich eine Neuinstallation und den damit verbundenen Aufwand zu vermeiden). Da du schon seit Tagen oder Wochen an der Arbeit bist, wäre meine Antwort: nein.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
06.11.2007, 16:43
| #9 |
| | unimontr.exe bzw. tr/inject.bz.2 Danke für Deine Ehrlichkeit. Dazu fällt mir nur noch eins ein: Super, dass diejenigen (die meisten jedenfalls), die das Zeugs in Umlauf setzen, immer noch nicht gefasst und hart bestraft werden. Möglich wäre es mit Sicherheit. Das ist doch Sachbeschädigung oder was auch immer! Aber Viren scheinen wohl eine gewisse Berechtigung zu haben  Und unsere und alle anderen Regierungen jagen ja lieber die Raucher  Da arbeitet man friedlich vor sich hin, fängt sich so ein Ding ein - und zack, hat man den (zeitlich nicht unerheblichen) Schaden, der einem natürlich niemand ersetzt. Das kostet mich bestimmt eine Woche mindestens, bis alles wieder läuft. Ich könnte echt kotzen! Ok, selbst schuld. "Hättest halt Dein System aktuell gehalten..." Ok, das nächste Mal demoliert mir jemand das Auto. "Hättest es halt nicht dort geparkt..." So, das musste jetzt raus. Dann warte ich mal die CD mit SP2 ab; könnte diese Woche noch kommen. Und dann ran an die Arbeit. Hier gab's ja auch Anleitungen. Die muss ich vorher noch ausdrucken. |
|
| Themen zu unimontr.exe bzw. tr/inject.bz.2 |
| antivir, dinge, ergebnis, funde, gefunde, immer wieder, installier, installiert, leute, log, löschen, pferd, poste, schei, setzt, sp2, troja, trojanisches, trojanisches pferd, updates, vollständige, woche |
