Servus

neu aufsetzen ist schon ein weilchen her und ich bin vor kurzem umgezogen..
ich nutze neu cablecom und dies (noch) ohne router.

nun bemerkte ich bei diversen programmen, dass diese schlechter ausgeführt werden als ich mir des gewohnt bin...

kaspersky meldete mir schon diverse male, dass versucht wird, registry einträge zu verändern usw.. habe dies natürlich immer verboten (soweit ich mich erinern kann...)

und doch habe ich heute beim genauer hinsehen bemerkt, dass da anscheinend
trojan downloader auf meinem system sein sollen....

kann sich bitte jemand mal mein log file anschauen und mir einen tip geben?
wenn möglich möchte ich natürlich nicht neu aufsetzen

herzlichen dank für eure hilfe.

gruss, sunset.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 00:05:16, on 14.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\sony\keyboard closure setup\KSWServ.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.club-vaio.sony-europe.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Keyboard Closure Setup.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: MANSION - {CD03D14B-0EF6-4f5a-BB81-1ECAFFC676AF} - C:\Programme\MANSION\Villa\MANSION.exe
O9 - Extra 'Tools' menuitem: MANSION - {CD03D14B-0EF6-4f5a-BB81-1ECAFFC676AF} - C:\Programme\MANSION\Villa\MANSION.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.club-vaio.sony-europe.com/
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Video Server (VAIOMediaPlatform-VideoServer-AppServer) - Unknown owner - C:\Programme\sony\giga pocket\GPVSvr.exe" /Service=VAIOMediaPlatform-VideoServer-AppServer /DisplayName="VAIO Media Video Server (file missing)
O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-VideoServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\VideoServer\HTTP (file missing)
O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe (file missing)
         

Zitat:

Zitat von sunset603

kaspersky meldete mir schon diverse male, dass versucht wird, registry einträge zu verändern usw.. habe dies natürlich immer verboten (soweit ich mich erinern kann...)

Warum "natürlich" verboten? Registryänderungen gehören zur Tagesordnung, auch in den von Kaspersky überwachten Bereichen.

Zitat:

und doch habe ich heute beim genauer hinsehen bemerkt, dass da anscheinend
trojan downloader auf meinem system sein sollen....

Woraus schließt du das? Deinem HJT-log kann ich nichts Auffälliges entnehmen, was allerdings auch nicht viel heißt. Hilfreich wären die logs von Kaspersky und escan. Was wurde wo gefunden?

Gute Nacht

wenn es mir spanisch vorkam, dann habe ich den eingriff verweigert..
hauptsächlich dann, wenn kaspersky den vorfall als bedrohung meldete..

bin aber schon eher paranoid, was die meldungen angeht..

werde heute abend mal die anderen logs posten..

Die hohe Kunst der Paranoia: Paranoid sein, bevor die Meldung kommt. Anschließend wirds deutlich ruhiger und der Klicki-Bunti-Zirkus sinkt auf Null. 180 Puls vorm PC sind schließlich auch nicht das Wahre.

Zitat:

Zitat von ordell1234

Die hohe Kunst der Paranoia: Paranoid sein, bevor die Meldung kommt. Anschließend wirds deutlich ruhiger und der Klicki-Bunti-Zirkus sinkt auf Null. 180 Puls vorm PC sind schließlich auch nicht das Wahre.

haha, ich weiss schon ungefähr was cool ist und was nicht, aber ich war eigentlich immer nur mit brain.exe unterwegs..
leider hat das proggi manchmal vielleicht nen kleinen spinner und dann fange ich mir halt doch nen wurm ein...

als ich die gelegenheit hatte kaspersky zu insallieren hab ich dies dann getan, da ich hier immer gutes darüber gelesen hatte...

auf jeden fall habe ich da gestern folgendes entdeckt:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]



beruhigend ist das ja wohl nicht gerade wa?

wie gesagt, eScan folgt.

Zitat:

Zitat von sunset603

Code: Alles auswählenAufklappen

ATTFilter

gefunden: Adware not-a-virus:AdWare.Win32.Casino.r	URL: h**p://***/PokerInstaller?lang=de&s=660020509121963839&os=660020509121963839&sr=105664&osr=105664&flag=No&l=&ic=0&st=0&bc=0&anid=0&se=900000&dl=527
gefunden: trojanisches Programm Trojan-Downloader.JS.Agent.ep	URL: h**p://***3gteam.info/images2/index.php
gefunden: potentiell gefährliche Software Invader (loader)	Prozess: C:\10000 fONTS\bonus\Fontnav\fontnav.exe
gefunden: potentiell gefährliche Software Hidden install	Prozess: F:\installs\cablecom_installer.exe
gefunden: trojanisches Programm Trojan-Downloader.JS.Psyme.le	URL: h**p://***/_ot/ne.cgi?p=admin
gefunden: trojanisches Programm Trojan.HTML.Agent.e	URL: http://themymoviessite.com/images/495/2/
         

beruhigend ist das ja wohl nicht gerade wa?

Nicht mehr lange, und du gewinnst ne Runde Neuaufsetzen. Schau dir die threads hier an: Es gibt kaum ein log ohne AVP und trotzdem sind die TOs durch die Bank weg infiziert... Bisher hat dich Kaspersky wohl gerettet, aber warten wir das log von escan ab.

Die URL-Meldungen stammen (vermutlich) vom Webschutz. Darunter findet sich u.A. ein link zu zlob und adware. Wenn du die Dateien nicht runtergeladen und ausgeführt hast, sehe ich keine Infektion.

Die "potentiell gefährl. Software"-Meldungen kommen vom proaktiven Schutz. Schau in die Hilfe zu Kaspersky, sie erklärt den proaktiven Schutz und die Bedeutung der Meldungen. "Potentiell" heißt: Kann, muß aber nicht schadhaft sein. Nimm auch mal die Details im Bericht unter die Lupe.

Ob es sich bei den Schriften (10.000 fonts) um vertrauenswürdige Software handelt, mußt du selbst wissen. Bei der cablecom-Software (Treiber oder Ähnliches ) gehe ich mal davon aus, ansonsten mach die Gegenprobe bei virustotal.com (bis öhm 10MB Dateigröße iirc)

Grüße