|
Plagegeister aller Art und deren Bekämpfung: EXE-Datei unter C:\Dokumente und Einstellungen\User\Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.02.2010, 12:03 | #1 |
| EXE-Datei unter C:\Dokumente und Einstellungen\User\ Hallo! Ich fürchte ich hab mir einen Trojaner oder ähnliches eingefangen. Ausschlaggebend ist eine Datei namens: xuinus.exe. Die Datei hat sich vermutlich über einen USB-Stick der infiziert ist eingeschlichen. Auf diesem USB Stick sind komischerweise eine autorun-Datei sowie Verknüpfungen für "Eigene Bilder", "Eigene Dateien", "Passwörter" und ähnliche... Sobald ich den USB-Stick eingesteckt hab greift diese xuinus.exe auf ihn zu, so dass ich ihn auch nicht formatieren kann. xuinus.exe lässt sich nicht beenden und auch nicht löschen, selbst per DOS-Eingabe nicht. xuinus.exe lässt sich komischerweise auch nicht auf virustotal.com hochladen um sie zu prüfen. Ich habe das Gefühl, dass der Rechner langsamer läuft. Logfile Hijackthis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:44:07, on 12.02.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Administrator\xuinus.exe C:\Programme\BackupGenie\BackupGenie.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [xuinus] C:\Dokumente und Einstellungen\Administrator\xuinus.exe O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: BackupGenie.lnk = C:\Programme\BackupGenie\BackupGenie.exe O4 - Startup: EcrSpool.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4741 bytes Geändert von Hannibal (12.02.2010 um 12:14 Uhr) Grund: Deutsche Sprache schwere Sprache,... |
12.02.2010, 12:27 | #2 |
| EXE-Datei unter C:\Dokumente und Einstellungen\User\ Hey,
__________________tu bitte mal folgendes: Bitte wie in der Anleitung ausführen! - http://www.trojaner-board.de/51464-a...-ccleaner.html danach - http://www.trojaner-board.de/51187-a...i-malware.html Log von Malwarebytes bitte hier einfügen. Neues HiJackThis-Logfile |
12.02.2010, 13:28 | #3 |
| EXE-Datei unter C:\Dokumente und Einstellungen\User\ Malware-Logfile:
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3729 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 12.02.2010 13:21:04 mbam-log-2010-02-12 (13-21-04).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 155169 Laufzeit: 15 minute(s), 30 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Administrator\Desktop\Kamera\ipscan.exe (PUP.Malware.Tool) -> Quarantined and deleted successfully. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:24:34, on 12.02.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\BackupGenie\BackupGenie.exe C:\Programme\Alwil Software\Avast4\setup\avast.setup C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [xuinus] C:\Dokumente und Einstellungen\Administrator\xuinus.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: BackupGenie.lnk = C:\Programme\BackupGenie\BackupGenie.exe O4 - Startup: EcrSpool.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4621 bytes |
12.02.2010, 13:44 | #4 |
/// Helfer-Team | EXE-Datei unter C:\Dokumente und Einstellungen\User\ Der Prozess läuft aktiv im Hintergrund. O4 - HKCU\..\Run: [xuinus] C:\Dokumente und Einstellungen\Administrator\xuinus.exe Wie sieht es im abgesichterten Modus aus? Hast du dort Zugriff? |
12.02.2010, 13:55 | #5 |
| EXE-Datei unter C:\Dokumente und Einstellungen\User\ Hey, Wenn du versuchst Code:
ATTFilter C:\Dokumente und Einstellungen\Administrator\xuinus.exe |
12.02.2010, 13:59 | #6 |
| EXE-Datei unter C:\Dokumente und Einstellungen\User\ Wenn ich im abgesicherten Modus starte kann ich die Datei löschen, hab eben aber noch mal HijackThis laufen lassen und da ist der Prozess wieder aktiv. Bei totalvirus kann ich die Datei nicht hochladen, sie erscheint nicht in der "Durchsuchen"-Auswahl obwohl ich die Ordneransicht wie hier im Forum empfohlen habe. |
12.02.2010, 14:00 | #7 |
/// Helfer-Team | EXE-Datei unter C:\Dokumente und Einstellungen\User\ Einfaches Löschen wir nichts bringen, da der Prozess beim nächsten Start wieder aktiv ist. Hast du auch die geschützten Systemdateien eingeblendet? |
12.02.2010, 14:03 | #8 |
| EXE-Datei unter C:\Dokumente und Einstellungen\User\ Ich hab die geschützten Systemdateien eingeblendet EDIT: Hab eben noch mal den Papierkorb aufgemacht und mein Avast ist angesprungen und meldet mir: Win32:VB-OLK [Wrm] |
12.02.2010, 14:06 | #9 |
/// Helfer-Team | EXE-Datei unter C:\Dokumente und Einstellungen\User\ Ok, dann solltest du das System erstmal anders überprüfen, bevor dieser Prozess aktiv ist. Lade dir dazu Antivir Rescue System herunter. Avira AntiVir Rescue System Doppelklick auf die .exe Datei und anschließend BootCD brennen. Dann den Rechner mit der CD starten und Komplett Scan ausführen. |
12.02.2010, 14:10 | #10 |
| EXE-Datei unter C:\Dokumente und Einstellungen\User\ Ok, wenn ich mit der CD gescannt habe. Was soll ich dann machen? Auf was muss ich achten? |
12.02.2010, 14:12 | #11 |
/// Helfer-Team | EXE-Datei unter C:\Dokumente und Einstellungen\User\ Funde zunächst in Quarantäne schieben. Danach Rechner neustarten. |
12.02.2010, 14:21 | #12 |
| EXE-Datei unter C:\Dokumente und Einstellungen\User\ Melde dich dann hier und berichte von den Funden. |
12.02.2010, 17:01 | #13 |
| EXE-Datei unter C:\Dokumente und Einstellungen\User\ Er hat einen Trojaner gefunden: TR/Drop.Softomat.AN Logfile: Code:
ATTFilter AntiVir / Linux Version 2.1.12-254 Copyright (c) 2008 by Avira GmbH. All rights reserved. VDF version: 7.10.4.44 created 12 Feb 2010 AntiVir license: 149995 fpr AntiVir Rescue System checking the master boot record of drive 128 error (25): cannot read record checking the master boot record of drive 129 error (2): cannot read record checking the master boot record of drive 130 error (2): cannot read record auto excluding /sys/ from scans (is a special fs) auto excluding /proc from scans (is a special fs) checking drive/path (list): /media/Device/ /media/Devices/sda1/System Volume Information/restore{4D3E1410-AF77-48E5-A3DB-237BAC640264}/RP388/A0024259.exe ALERT: [TR/Drop.Softomat.AN] /media/Devices/sda1/System Volume Information/_resore{4D3E1410-AF77-48E5-A3DB-237BAC640264}/RP388/A0024259.exe <<<Is the Trojan horse TR/Drop.Softomat.AN ------scan results------ directories: 3275 scanned files: 137361 alerts: 1 [...] Ich konnte nirgendwo meine Funde in Quarantäne schieben,... |
12.02.2010, 17:04 | #14 |
/// Helfer-Team | EXE-Datei unter C:\Dokumente und Einstellungen\User\ löschen und anschließend Rechner neustarten. Anschließend neues Logfile von HJT |
12.02.2010, 17:09 | #15 |
| EXE-Datei unter C:\Dokumente und Einstellungen\User\ Was soll ich wie löschen? |
Themen zu EXE-Datei unter C:\Dokumente und Einstellungen\User\ |
administrator, adobe, antivirus, avast, avast!, bho, browser, dll, eigene bilder, einstellungen, exe-datei, explorer, hijack, hijackthis, hkus\s-1-5-18, infiziert, internet, internet explorer, nvidia, programme, rundll, senden, software, system, trojaner, virus, virustotal.com, windows, windows xp |