Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: PSW to TR infekt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.10.2008, 01:36   #1
Tingle
 
PSW to TR infekt - Standard

PSW to TR infekt



Hallo, ich spiele World of Warcraft und aufn Offizielen forum von WoW hab ich auf einen Link geklickt und mir einen wurm eingefangen...

Ich benutzte AntiVir.

Mein System:
Windows XP SP 3 PRO

Mein AntiVir findet immer 2 sachen gleichzeitig.

Nach dem ich aufn link geklickt habe hat antivir 2 sachen entdeckt. Ich click auf Löschen und ok bei beiden.

Zu der zeit war es ein PSW/Online.Games.(komische endung, tut mir leid ich errinere mich nicht)

Dies passierte alle 5-15 minuten, also antivir fand alle 5-15 min die gleichen 2 sachen.


Ich habe dann nach ca 4 stunden CCleaner laufen lassen mit alles ausgewält das es wirklich alles löscht und dann reg-fix laufen lassen, dies 2-3 mal.

für ca 1 stunde hatte ich ruhe und dann fand Antivir wieder 2 sachen und dieses mal kann ich detaliert sagen wo und was es ist weil ich selbst jetz nach 2 tagen immer noch im abstand von 5-15 minuten 2 funde gekriege.

einmal:

C:\WINDOWS\system32\atlsystem2450967.exe [die zahl am ende variert jedes mal]
Ist das Trojanische Pferd TR/Dropper.Gen

Zweimal:

C:\Documents and Settings\Network Service\...\new[1].exe
Ist das Trojanische Pferd TR/Dropper.Gen


nach langen suchen im internet habe ich nichts gefunden um ihn zu entfernen.

Hier mein HJT log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:22:22, on 28.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\DynDNS Updater\DynUpSvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\EVGA Precision\EVGAPrecision.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Com\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\FRAPS\FRAPS.EXE
C:\Program Files\DynDNS Updater\DynTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: tingle.servegame.org 192.168.1.120
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EVGAPrecision] "C:\Program Files\EVGA Precision\EVGAPrecision.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\system32\Com\svchost.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DynDNS Updater Tray Icon.lnk = C:\Program Files\DynDNS Updater\DynTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34233D22-A0F3-4611-A753-58D6FA3CC439}: NameServer = 83.169.184.161,83.169.184.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{58520803-447E-41A8-A8B4-DB05A6E4E4E8}: NameServer = 83.169.184.161,83.169.184.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{34233D22-A0F3-4611-A753-58D6FA3CC439}: NameServer = 83.169.184.161,83.169.184.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{58520803-447E-41A8-A8B4-DB05A6E4E4E8}: NameServer = 83.169.184.161,83.169.184.255
O17 - HKLM\System\CS3\Services\Tcpip\..\{34233D22-A0F3-4611-A753-58D6FA3CC439}: NameServer = 83.169.184.161,83.169.184.225
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: DynDNS Updater - Dynamic Network Services, Inc. - C:\Program Files\DynDNS Updater\DynUpSvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (file missing)
O23 - Service: NPPZIQ - Unknown owner - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\NPPZIQ.exe (file missing)
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI\RpcSandraSrv.exe
O23 - Service: SQL Server VSS Writer (SQLWriter) - Unknown owner - c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 8902 bytes
         
Mein Malwarebytes Anti-Maleware ergebnis log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Database version: 1329
Windows 5.1.2600 Service Pack 3

28.10.2008 01:34:56
mbam-log-2008-10-28 (01-34-53).txt

Scan type: Quick Scan
Objects scanned: 50296
Time elapsed: 3 minute(s), 0 second(s)

Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 9
Registry Values Infected: 1
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
C:\WINDOWS\system32\Com\svchost.exe (Backdoor.Bot) -> No action taken.

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2eff3cf7-99c1-4c29-bc2b-68e057e22340} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{a6573479-9075-4a65-98a6-19fd29cf7374} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Backdoor.Bot) -> No action taken.

Registry Data Items Infected:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\Com\svchost.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
         
Wenns noch intressiert der link wo ich mirs eingefangen habe ist dies:

http://www.wow8983.cn/watch/257249/n...by_satelliteu/

und nein ich habe drauf geklickt weil der link hinter den wörter: "Free WoW Gold" versteckt war.

Geändert von Tingle (28.10.2008 um 01:56 Uhr)

Alt 28.10.2008, 01:55   #2
Tingle
 
PSW to TR infekt - Standard

PSW to TR infekt



Ok, kleines update. Nachdem ich Malwarebytes habe laufen lassen und säubern habe ich 0 infekte aber dafür kommt jetz nur noch 1 AntiVir Fund und jetz ist es wieder was anderes:

C:\Documents and Settings\NetworkService\...\new[1].exe
Ist das Trojanische pferd TR/Crypt.ULPM.Gen
__________________


Alt 28.10.2008, 02:05   #3
Tingle
 
PSW to TR infekt - Standard

PSW to TR infekt



so nun gibts mehr:

C:\WINDOWS\system32\SvK835_164.dll
Ist das Trojanische Pferd TR/Dldr.Agent.alnl

ah ok hierbei bleibt der fund auch er ändert sich nichtmehr
__________________

Geändert von Tingle (28.10.2008 um 02:12 Uhr)

Antwort

Themen zu PSW to TR infekt
32-bit, 5 minuten, adobe, adware.mywebsearch, avira, bho, bonjour, broken.opencommand, browser, cs3, dll, explorer, firefox, gigabyte, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, link geklickt, logfile, löschen, malwarebytes' anti-malware, mozilla, mssql, nvidia, object, pdf, rundll, software, system, temp, windows xp sp3, wurm, wörter, xp sp 3, xp sp3



Ähnliche Themen: PSW to TR infekt


  1. Doch noch Reste nach Erfolgreicher Bekämpfung Re-Infekt Malaha.net?
    Plagegeister aller Art und deren Bekämpfung - 13.06.2015 (7)
  2. Re-Infekt mit Malaha.net und diverse Beobachtungen
    Plagegeister aller Art und deren Bekämpfung - 29.05.2015 (37)
  3. Systemabstürze+Bluescreens bei Belastung, Windows 7, Infekt: Win32,Win64
    Log-Analyse und Auswertung - 22.09.2014 (23)
  4. Windows7 Spyware infekt, komplette Traffic Umleitung, versteckte images und eventueller hardwaregestützter "Backdoor"
    Log-Analyse und Auswertung - 17.12.2013 (23)
  5. Infekt da3e94
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (2)
  6. Infekt da3e94
    Plagegeister aller Art und deren Bekämpfung - 17.06.2013 (3)
  7. XP32: Live Security Platinum Infekt auf einem Account über ADMIN zu entfernen?
    Plagegeister aller Art und deren Bekämpfung - 28.08.2012 (9)
  8. System sehr Lahm durch Trojaner infekt !
    Log-Analyse und Auswertung - 09.12.2011 (13)
  9. BKA-Trojaner jashla.exe Infekt
    Log-Analyse und Auswertung - 21.08.2011 (25)
  10. TR/ATRAPS.Gen bzw. Agobot-Infekt?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2010 (36)
  11. Conficker -Infekt vom USB-Stick aus bereinigen?
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (1)
  12. Verdacht auf Infekt
    Log-Analyse und Auswertung - 23.12.2009 (6)
  13. Langsamer Rechner, Infekt Windows Antivirus Pro, Total Secure
    Plagegeister aller Art und deren Bekämpfung - 06.09.2009 (12)
  14. Nach Trojaner-Infekt Ausführungsverhinderung?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2009 (7)
  15. Warscheinlicher Virus-Infekt, Kaspersky-Updates nicht mehr möglich
    Log-Analyse und Auswertung - 01.02.2009 (0)
  16. Wurm- und Trojaner-Infekt
    Plagegeister aller Art und deren Bekämpfung - 21.11.2005 (3)
  17. neuer Infekt
    Log-Analyse und Auswertung - 25.05.2005 (5)

Zum Thema PSW to TR infekt - Hallo, ich spiele World of Warcraft und aufn Offizielen forum von WoW hab ich auf einen Link geklickt und mir einen wurm eingefangen... Ich benutzte AntiVir. Mein System: Windows XP - PSW to TR infekt...
Archiv
Du betrachtest: PSW to TR infekt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.