Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.09.2009, 13:49   #1
Lajana81
 
Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT - Rotes Gesicht

Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT



Hallo zusammen :-)

Habe seit einiger Zeit ein Problem und weiß mir leider nicht zu helfen. Kenn mich auch ehrlich gesagt zuwenig aus.

Seit ca. 14 Tagen teilte Avira ständig mit, dass ein Wurm Trojaner etc. gefunden wurde. Leider war Avira auch nicht up to date. Habe jetzt die neuste Version und es wurde vorallem Kolab.dss und Trojan/Dldr Phersl sowie Pher NM gefunden. Diese wurden laut Avira auch entfernt.

Ich bin besorgt, da mein Internet die letzt 14 Tagen auch teilweise sehr langsam ist, auch unser Provider hat geschrieben, dass über unsere Leitung Spam versand wird... so ein Mißt.

Habe versucht mir selbst zu helfen und mit Bitdefender gescant auch er hat etwas gefunden und etnfernt.

So sah der Bericht aus:

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP275\A0041024.exe
Infiziert: Trojan.AutoIT.ADN

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP275\A0041024.exe
Gelscht

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP289\A0044690.exe
Infiziert: Trojan.AutoIT.ADN

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP289\A0044690.exe
Gelscht

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP292\A0044788.exe
Infiziert: Gen:Trojan.Heur.AutoIT.Qq3@bqYTZBaO

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP292\A0044788.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP292\A0044788.exe
Gelscht

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP295\A0044839.exe
Infiziert: Gen:Trojan.Heur.AutoIT.Qq3@bW2m3weO

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP295\A0044839.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP295\A0044839.exe
Gelscht

C:\WINDOWS\system32\csrcs.exe
Infiziert: Gen:Trojan.Heur.AutoIT.Uq3@bm2uyllO

C:\WINDOWS\system32\csrcs.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\csrcs.exe
Lschung fehlgeschlagen

C:\WINDOWS\system32\sysmgr.exe
Erkannt: Application.Generic.179479

C:\WINDOWS\system32\sysmgr.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\sysmgr.exe
Lschung fehlgeschlagen

Hmm.. verzweifel


Die csrcs.exe ist im Ordner 32 jedoch gar nicht zusehen, auch wenn ich die versteckten anzeigen lassen.

Habe hier auch die Hijacs:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:03, on 15.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\csrcs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sysmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\net.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msrtm] C:\WINDOWS\msd32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jdk/6u10/jinstall-6u10-windows-i586-jc.cab?e=1225748620104&h=52db758edad87ca76984be5646b1c682/&filename=jinstall-6u10-windows-i586-jc.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
Es wäre super wenn mir jemad sagen könnte ob ich eine hoffnungslose Spamschleuder bin

Auch wäre es super, wenn ihr es mir verständlich erklärt, dann kann ich auch was lernen.

Ich danke euch allen jetzt schon.

Alt 16.09.2009, 21:09   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT - Standard

Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT



Hallo und

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\csrcs.exe
C:\WINDOWS\system32\sysmgr.exe
C:\WINDOWS\system32\net.exe
C:\WINDOWS\mslsrv.exe
         
Bitte danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, SD-Cards, ... mit anklemmen!!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 16.09.2009, 21:28   #3
kira
/// Helfer-Team
 
Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT - Standard

Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT



habe mein Beitrag gelöscht
__________________

Alt 16.09.2009, 22:34   #4
Lajana81
 
Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT - Standard

Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT



Hallo Arne,

danke für deine Antwort. Ich verzweifel gerade ein bíschen :-)

den einen konnte ich über Virus total testen, der andere ist wie vom Erdboden verschluckt. Ich habe alle Datein sichtbar und es heißt, dass er im System 32 steckt.. aber ich finde ihn nicht.

Hier das Ergebnis von Virustotal:

Datei 6101f88db9107d0b851e699ed894ba38 empfangen 2009.09.12 12:07:59 (UTC)
Status: Beendet

Ergebnis: 38/41 (92.68%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.12 Riskware.Win32.Injector!IK
AhnLab-V3 5.0.0.2 2009.09.11 Win32/IRCBot.worm.variant
AntiVir 7.9.1.14 2009.09.11 SPR/Tool.Injector.60416B
Antiy-AVL 2.0.3.7 2009.09.11 Backdoor/Win32.IRCBot.gen
Authentium 5.1.2.4 2009.09.12 W32/Backdoor2.EVZO
Avast 4.8.1351.0 2009.09.11 Win32:Inject-SW
AVG 8.5.0.412 2009.09.12 SHeur2.ANUC
BitDefender 7.2 2009.09.12 Application.Generic.179479
CAT-QuickHeal 10.00 2009.09.12 Backdoor.IRCBot.lav
ClamAV 0.94.1 2009.09.12 -
Comodo 2293 2009.09.12 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.09.12 Win32.HLLW.Druck.5
eSafe 7.0.17.0 2009.09.10 Win32.BackDoor.DOQ.E
eTrust-Vet 31.6.6733 2009.09.11 Win32/VMalum.FUTQ
F-Prot 4.5.1.85 2009.09.11 W32/Backdoor2.EVZO
F-Secure 8.0.14470.0 2009.09.11 Backdoor.Win32.IRCBot.lav
Fortinet 3.120.0.0 2009.09.12 W32/BDoor.DOQ!tr.bdr
GData 19 2009.09.12 Application.Generic.179479
Ikarus T3.1.1.72.0 2009.09.12 VirTool.Win32.Injector
Jiangmin 11.0.800 2009.09.12 Backdoor/IRCBot.gnt
K7AntiVirus 7.10.842 2009.09.11 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.09.12 Backdoor.Win32.IRCBot.lav
McAfee 5738 2009.09.11 BackDoor-DOQ.gen.e
McAfee+Artemis 5738 2009.09.11 BackDoor-DOQ.gen.e
McAfee-GW-Edition 6.8.5 2009.09.12 Riskware.Tool.Injector.60416B
Microsoft 1.5005 2009.09.12 VirTool:Win32/Injector.gen!B
NOD32 4419 2009.09.12 Win32/TrojanProxy.Agent.NEL
Norman 6.01.09 2009.09.11 W32/Smalldoor.ETAD
nProtect 2009.1.8.0 2009.09.12 Backdoor/W32.IRCBot.60416.L
Panda 10.0.2.2 2009.09.12 W32/Gaobot.OXI.worm
PCTools 4.4.2.0 2009.09.11 -
Prevx 3.0 2009.09.12 High Risk System Back Door
Rising 21.46.52.00 2009.09.12 -
Sophos 4.45.0 2009.09.12 Mal/Behav-243
Sunbelt 3.2.1858.2 2009.09.12 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.09.12 Trojan Horse
TheHacker 6.3.4.4.401 2009.09.12 Backdoor/IRCBot.lav
TrendMicro 8.950.0.1094 2009.09.12 WORM_IRCBOT.CDW
VBA32 3.12.10.10 2009.09.11 Backdoor.Win32.IRCBot.lav
ViRobot 2009.9.12.1932 2009.09.12 Backdoor.Win32.IRCBot.71680.F
VirusBuster 4.6.5.0 2009.09.11 Trojan.Inject.Gen.5
weitere Informationen
File size: 60416 bytes
MD5 : 6101f88db9107d0b851e699ed894ba38
SHA1 : eed418308c8aca295c9aff71c9b37fd293a7f40c
SHA256: ef10bb670022bebd508b50b3d8ddc6d10802bcd9314190f6619397cc139ec91e
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x33D4
timedatestamp.....: 0x4A47DEE4 (Sun Jun 28 23:21:40 2009)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x516E 0x5200 6.49 142663a8ce0ed611271e20734f40de52
.rdata 0x7000 0x86A 0xA00 4.79 8eaa4d1ff960c7cc4c477477196c83c4
.data 0x8000 0x2D80 0x2800 1.14 547cb6686ee0b0fbe72699d7957c1a9e
.tls 0xB000 0x0 0x6400 7.98 4ddeee813e3f7e4b19efb5073e48d90c

( 2 imports )

> advapi32.dll: RegQueryValueExA, RegCloseKey, RegOpenKeyA
> kernel32.dll: GetProcAddress, GetTickCount, GetModuleHandleA, lstrcatA, GlobalAlloc, OpenProcess, ExitProcess, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetCPInfo, GetACP, GetOEMCP, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

( 0 exports )

TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ThreatExpert: http://w. <br /> <br /> threatexpe...1e699ed894ba38
ssdeep: 768:/lnzGt+w1foMSqtv62HjqKPZdSYfWwtHbMivZAFvk5w:Jzy1NtvFjqKPZd9WwbuFvk
Prevx Info: http://<br /> fo.prevx.com/aboutpro...BAF2007548D836
PEiD : Armadillo v1.71
RDS : NSRL Reference Data Set

Habe gerade noch einmal gesucht aber der csrcs. ist nicht zu finden :-)

So mach mich mal an meine anderen Aufagben.



So bin jetzt schon ein bischen weiter in der Anleitung. Habe gesäubert und mit Malware gescannt.. ach du je.. ich bin ja wirklich verseucht :-) Hier das Ergebnis:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2813
Windows 5.1.2600 Service Pack 3

16.09.2009 00:19:50
mbam-log-2009-09-16 (00-19-50).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 163322
Laufzeit: 28 minute(s), 37 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\sysmgr.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\microsoft(r) system manager (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msvcrt2.dll (Trojan.Donbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysmgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.

jetzt feht nur noch RSIT.. kommt

Geändert von Lajana81 (16.09.2009 um 23:29 Uhr)

Alt 16.09.2009, 23:22   #5
Lajana81
 
Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT - Standard

Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT



So hier die Ergebnisse von RSIT:

http://www.file-upload.net/download-...9/info.7z.html

http://www.file-upload.net/download-1894111/log.7z.html

Hoffe ich habe alles so erledigt, dass ihr mir helfen könnt. Und ich hoffe ja immer noch, dass mein Problem lösbar ist.. am besten ohne Neuinstalation.. Aber ich bin auf eure Expertenmeinungen gespannt.

Ach ja, seit dem Malware etwas gelöscht hat, geht das Internet wieder besser glaube ich.

Liebe Grüße


Geändert von Lajana81 (16.09.2009 um 23:56 Uhr)

Alt 17.09.2009, 09:07   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT - Ausrufezeichen

Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT



Du hast da ne Backdoor-Infektion! Da macht ein Bereinigen eigentlich keinen Sinn mehr! Sinnvoll: Reine Datendateien (wie Musik, Videos, Dokumente) aber keine ausführbaren Dateien (Programme, Spiele, *.exe Dateien) sichern, danach Festplatte plätten und Windows neu aufsetzen.

Bitte auch beachten und lesen => Definition Technische Kompromittierung
__________________
--> Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT

Alt 17.09.2009, 09:55   #7
Lajana81
 
Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT - Standard

Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT



Hallo Arne,

danke für die schnelle Antwort. Das klingt böse. Es gibt also keine zuverlässige Möglichkeit außer neu machen?

Vielleicht können wir in ein paar Tagen noch einmal sprechen. Bin jetzt erst mal eine Woche beruflich unterwegs.

Danke nochmal :-)

Alt 17.09.2009, 11:07   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT - Ausrufezeichen

Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT



Bereinigen kann man, aber willst Du mit dem Risiko leben?

Bevor Du Daten sicherst, kann man ja nochmal wenigstens einen Durchlauf mit Combofix machen. Bitte die Anweisungen genau lesen und daran halten!!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!


Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT
adobe, antivir, antivirus, avg, avira, bho, defender, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, langsam, letzt, nvidia, problem, rundll, sehr langsam, software, spam, super, system, trojaner, wenig ahnung, windows, windows xp, wurm



Ähnliche Themen: Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT


  1. Trojan.Heur.FU & Trojan.Heur.AutoIT.1 & Banker.d Worm
    Plagegeister aller Art und deren Bekämpfung - 07.01.2014 (34)
  2. BKA-/Bundestrojaner aber kein Sperrschirm dafür Fehler beim booten
    Plagegeister aller Art und deren Bekämpfung - 07.01.2014 (9)
  3. AKM Virus ohne OTL, dafür aber mit ubuntu beheben?
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (2)
  4. Internet Explorer öffnet sich von selber mit Werbung, brauche hil.e(Neu,wenig Ahnung)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2010 (7)
  5. Rechner zuuu langsam - wenig Ahnung...
    Plagegeister aller Art und deren Bekämpfung - 27.03.2009 (0)
  6. Hab HJT log aber keine ahnung! hilfe bitte!
    Mülltonne - 14.11.2008 (1)
  7. Rechner bleibt hängen /friert ein ... leider hab ich nur wenig Ahnung
    Log-Analyse und Auswertung - 10.07.2008 (1)
  8. bei Internet start hoher Datentransfer, aber keine Ahnung!? Bitte um Hilfe!
    Log-Analyse und Auswertung - 04.12.2007 (0)
  9. Keine Ahnung, dafür viele Probs! HiJackFile
    Log-Analyse und Auswertung - 24.07.2007 (2)
  10. Bitte um Hilfe! drwatsn32.exe aber keine ahnung wie der weg geht
    Plagegeister aller Art und deren Bekämpfung - 15.11.2006 (6)
  11. Habe grosses Trojaner Problem und wenig Ahnung hier mein Logfile
    Log-Analyse und Auswertung - 10.03.2006 (3)
  12. Habe grosses Trojaner Problem und wenig Ahnung
    Plagegeister aller Art und deren Bekämpfung - 09.03.2006 (2)
  13. HILFE !! keine ahnung mein antivir findet watt aber kann nix machen !!!
    Log-Analyse und Auswertung - 15.12.2005 (1)
  14. Keine Ahnung was es ist, aber ich bekomme es nicht weg. Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 07.07.2005 (5)
  15. Brauche Hilfe, habe aber leider nicht viel Ahnung...
    Log-Analyse und Auswertung - 06.01.2005 (5)
  16. Neu hier und wenig ahnung wer kann helfen
    Log-Analyse und Auswertung - 21.12.2004 (3)
  17. ...bin neu hier, habe wenig Ahnung und gleich eine Frage
    Plagegeister aller Art und deren Bekämpfung - 29.10.2004 (9)

Zum Thema Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT - Hallo zusammen :-) Habe seit einiger Zeit ein Problem und weiß mir leider nicht zu helfen. Kenn mich auch ehrlich gesagt zuwenig aus. Seit ca. 14 Tagen teilte Avira ständig - Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT...
Archiv
Du betrachtest: Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.