Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   startseite... (https://www.trojaner-board.de/10235-startseite.html)

meinhard 29.11.2004 22:57
startseite...
 
Hab seit ein paar Tagen das Problem, daß meine Startseite about:blank nicht wegzubringen ist. Diese erscheint auch in dem Text wenn eine Seite nicht angezeigt werden kann.

Hab bereits adaware laufen lassen, dann cwshredder, der hat zwei Sachen gelöscht und antivir fand sechs Trojaner. Trotzdem besteht das Problem noch.

Erklärungen bitte für einen Laien verständlich formulieren!

mfG Meinhard

Haui45 29.11.2004 23:00
Poste bitte ein HijackThis Logfile in diesen Thread.
mfg Haui

meinhard 29.11.2004 23:55
Hier mein logfile, bitte um Auswertung:

Logfile of HijackThis v1.98.2
Scan saved at 23:53:29, on 29.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sdkgr32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\iern.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\escan\mwav\mwavscan.com
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\escan\mwav\kavss.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {77DE2D83-957F-1DC7-29B3-8314649B33C1} - C:\WINDOWS\crzs32.dll
O2 - BHO: (no name) - {7F1029E8-9DB7-E8D4-F170-3D4D58BD46F6} - C:\WINDOWS\crzs32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iern.exe] C:\WINDOWS\system32\iern.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\MDT6\InstFred.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21b43246...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\MDT6\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DF52B6F-DFC6-4C01-80AE-E35CC75944A8}: NameServer = 129.27.2.3 129.27.3.3

meinhard 30.11.2004 09:16
Hab jetzt diese automatische Auswertung gemacht und ein paar Dinge gefixt, die kommen aber immer wieder. Wer kann mir helfen? Aktuelles logfile:

Logfile of HijackThis v1.98.2
Scan saved at 12:54:30, on 30.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sdkgr32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\iern.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {77DE2D83-957F-1DC7-29B3-8314649B33C1} - C:\WINDOWS\crzs32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iern.exe] C:\WINDOWS\system32\iern.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\MDT6\InstFred.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21b43246...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\MDT6\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx

meinhard 30.11.2004 20:43
Jemand da, der mir helfen kann?

Shadowdance 30.11.2004 20:58
Hallo meinhard,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir das aktuelle Service Pack runter: www.windowsupdate.com

Überprüfe mit virusscan.jotti.dhs.org:

C:\Programme\AMD\PowerNow!\GemServ.exe
C:\WINDOWS\system32\sdkgr32.exe
C:\WINDOWS\system32\iern.exe
C:\WINDOWS\crzs32.dll

teile uns das Ergebnis der Überprüfung mit.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xkrqg.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xkrqg.dll/sp.html#28129

R3 - Default URLSearchHook is missing

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52...meInstaller.exe

wenn Du diese Einträge nicht kennst/brauchst, bitte ebenfalls fixen:

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com

O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\MDT6\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\MDT6\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen die Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt? "Öffne dazu die mwav.log -> bearbeiten -> suchen -> 'Virus' eingeben -> weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle ein weiteres Hijack This Logfile und poste es.

SD

meinhard 30.11.2004 21:16
Hoff das passt so:

Service load:
0% 100%
File: GemServ.exe
Status:
OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None

Service load:
0% 100%
File: sdkgr32.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
UPX

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.38 seconds taken)
ClamAV
No viruses found (0.33 seconds taken)
Dr.Web
No viruses found (0.51 seconds taken)
F-Prot Antivirus
W32/SillyTrojan.BD@bd (0.06 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Agent.bq (0.62 seconds taken)
mks_vir
No viruses found (0.21 seconds taken)
NOD32
No viruses found (0.42 seconds taken)
Norman Virus Control
No viruses found (0.48 seconds taken)

Service load:
0% 100%
File: iern.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
UPX

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.38 seconds taken)
ClamAV
Trojan.Downloader.Agent-23 (0.34 seconds taken)
Dr.Web
Trojan.DownLoader.1077 (0.50 seconds taken)
F-Prot Antivirus
No viruses found (0.09 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Agent.ap (0.61 seconds taken)
mks_vir
Trojan.Downloader.Agent.Ap (0.20 seconds taken)
NOD32
No viruses found (0.46 seconds taken)
Norman Virus Control
No viruses found (2.91 seconds taken)

Service load:
0% 100%
File: crzs32.dll
Status:
INFECTED/MALWARE
Packers detected:
UPX

AntiVir
No viruses found (0.15 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.56 seconds taken)
ClamAV
Trojan.Downloader.Agent.AC (0.59 seconds taken)
Dr.Web
No viruses found (0.60 seconds taken)
F-Prot Antivirus
dropper for W32/SearchAid (0.06 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Agent.db (0.61 seconds taken)
mks_vir
No viruses found (0.21 seconds taken)
NOD32
No viruses found (0.45 seconds taken)
Norman Virus Control
No viruses found (0.12 seconds taken)

Service Pack 2 wird gerade heruntergeladen.

mfG Meinhard

Shadowdance 30.11.2004 21:49
@ meinhard,

sei bitte so nett und sende diese Dateien:

C:\Programme\AMD\PowerNow!\GemServ.exe
C:\WINDOWS\system32\sdkgr32.exe
C:\WINDOWS\system32\iern.exe
C:\WINDOWS\crzs32.dll

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken, es scheint sich um neue Malware zu handeln.

SD

meinhard 30.11.2004 22:21
Mach ich natürlich.

Anmerkung zu: C:\Programme\AMD\PowerNow!\GemServ.exe

Kann das als Laie nicht so beurteilen, aber AMD\PowerNow! hat was mit den Energieoptionen meines Laptops zu tun, weiß also nicht ob GemServe.exe gefährlich ist. Werds aber auf jeden Fall mitschicken.

@ iern.exe und sdgkr32.exe, konnte ich nur in C:\ windows/prefetch als Prefetch-Datei finden, was immer das ist. Schick ich auch.

mfG Meinhard

meinhard 01.12.2004 16:58
So, hab jetzt alles gemacht, allerdings waren im hjt nicht mehr alle Dateien da. Hab jene gefixt, die iern, sdkgr32, crzs32 enthalten haben. Hier das escan-Ergebnis an drei verschiedenen Tagen (Von zweimal 18 Treffern auf 588!!!!).

Mon Nov 29 23:36:09 2004 => File C:\WINDOWS\system32\iern.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:36:27 2004 => File C:\WINDOWS\system32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:36:55 2004 => File C:\WINDOWS\system32\iern.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:17 2004 => File C:\WINDOWS\system32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:18 2004 => File C:\WINDOWS\anuun.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:20 2004 => File C:\WINDOWS\atlev.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:24 2004 => File C:\WINDOWS\cryv.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:32 2004 => File C:\WINDOWS\igtxi.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:33 2004 => File C:\WINDOWS\ipar.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:39 2004 => File C:\WINDOWS\javaof.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:40 2004 => File C:\WINDOWS\javaov.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:40 2004 => File C:\WINDOWS\javaov.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:38:27 2004 => File C:\WINDOWS\System32\apptn.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:38:27 2004 => File C:\WINDOWS\System32\appuu.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:38:36 2004 => File C:\WINDOWS\System32\bzrkc.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:39:47 2004 => File C:\WINDOWS\System32\fzqbn.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:40:05 2004 => File C:\WINDOWS\System32\iern.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:43:35 2004 => File C:\WINDOWS\System32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:19:59 2004 => File C:\WINDOWS\system32\iern.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:21 2004 => File C:\WINDOWS\system32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:29 2004 => File C:\WINDOWS\anuun.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:41 2004 => File C:\WINDOWS\atlev.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:47 2004 => File C:\WINDOWS\cryv.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:59 2004 => File C:\WINDOWS\igtxi.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:59 2004 => File C:\WINDOWS\ipar.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:21:05 2004 => File C:\WINDOWS\javaof.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:21:06 2004 => File C:\WINDOWS\javaov.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:21:43 2004 => File C:\WINDOWS\xkrqg.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:21:59 2004 => File C:\WINDOWS\System32\apptn.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:22:00 2004 => File C:\WINDOWS\System32\appuu.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:22:17 2004 => File C:\WINDOWS\System32\bzrkc.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:23:24 2004 => File C:\WINDOWS\System32\fzqbn.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:23:32 2004 => File C:\WINDOWS\System32\iern.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:26:08 2004 => File C:\WINDOWS\System32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Aktuell: Einmal

Wed Dec 01 16:09:36 2004 => File C:\WINDOWS\system32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Dann ziemlich oft Trojan-Downloader.Win32.Agent.db

Wieder einmal:

Wed Dec 01 16:09:41 2004 => File C:\WINDOWS\anuun.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Weiter wie vorher:

Wed Dec 01 16:09:42 2004 => File C:\WINDOWS\apieb.dll infected by "Trojan-Downloader.Win32.Agent.db" Virus. Action Taken: No Action Taken.

noch einmal:

Wed Dec 01 16:11:01 2004 => File C:\WINDOWS\xkrqg.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

und dann wieder nur der vorherige Virus

Wed Dec 01 16:15:48 2004 => Total Files Scanned: 3059
Wed Dec 01 16:15:48 2004 => Total Virus(es) Found: 588
Wed Dec 01 16:15:48 2004 => Total Disinfected Files: 0
Wed Dec 01 16:15:48 2004 => Total Files Renamed: 0
Wed Dec 01 16:15:48 2004 => Total Deleted Files: 0
Wed Dec 01 16:15:48 2004 => Total Errors: 0
Wed Dec 01 16:15:48 2004 => Time Elapsed: 00:07:08
Wed Dec 01 16:15:48 2004 => Virus Database Date: 2004/12/01
Wed Dec 01 16:15:48 2004 => Virus Database Count: 111132

Besteht da noch Chance auf Heilung? Langsam wirds mir unheimlich!

meinhard 01.12.2004 17:01
Und hier das aktuelle hjt-logfile:

Logfile of HijackThis v1.98.2
Scan saved at 17:01:34, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sdkgr32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3hotkey.exe
C:\WINDOWS\system32\S3tray2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\MDT6\InstFred.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21b43246...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101815949755
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\MDT6\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DF52B6F-DFC6-4C01-80AE-E35CC75944A8}: NameServer = 129.27.2.3 129.27.3.3

meinhard 01.12.2004 19:47
Macht das überhaupt noch Sinn? Oder soll ich das tun was ich auf keinen Fall will: Neu aufsetzen?

Shadowdance 02.12.2004 22:30
Hallo meinhard,

Zitat:
Wed Dec 01 16:15:48 2004 => Total Virus(es) Found: 588
Du magst nicht neu aufsetzem wollen .. Dein System ist kompromittiert, irreparabel. Da bleibt nur noch formatieren und anhand Cidre's Rat neu aufsetzen:

Zitat:
Zitat von Cidre
Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html
SD

Haui45 02.12.2004 22:33
Zitat:
Wed Dec 01 16:15:48 2004 => Total Files Scanned: 3059
Wed Dec 01 16:15:48 2004 => Total Virus(es) Found: 588
Man beachte, dass nicht mal das ganze System gescannt wurde (3059 Files sind zu wenig) und wenn es da schon 588 sind, dann möcht ich gar nicht wissen was da noch drauf ist.....


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19