|
SoberI oder nicht?? Hallo. Ich bitte ganz dringend um Eure Hilfe. Obwohl ich nicht ganz unbedarft im Umgang mit Computern bin, hat mich das folgende doch etwas verwirrt: Seit drei Tagen meldet AV Antivir im laufenden Betrieb ständig, es hätte Dateien des Wurmes Sober.I auf dem System gefunden. Dabei handle es sich um folgende Datei: C:\docume~1/rtx100~1/lokale~~1/temp/bat3.tmp Ich werde gefragt, ob ich die Datei löschen, etc.... will. Gibt man löschen an, habe ich innerhalb einer Minute wieder ein Fenster, das vor der Datei .../bat4.tmp warnt. Dieses Spielchen kann man unendlich weitertreiben. Also muss sich tatsächlich Malware auf dem System befinden. Ein Scan (sowohl im normalen als auch abgesicherten Modus) durch AntiVir ergibt aber keinerlei Funde. Auch das Sober-Removal-Tool von Symantec findet (in beiden Modi) keinen Schädling. Ebensowenig finden sich die gängigen Dateien des Sober.I im Systemordner und auch die typischen Registry-Einträge fehlen. Andererseits muss da tatsächlich ein Schädlich im System sein, fragt sich nur, welcher das tatsächlich ist. Vielleicht kann ja jemand was mit dem folgenden Hijack - File anfangen, und mir weitere Tips geben, was ich mir da tatsächlich eingefangen habe, und evtl. wie wieder loswerden: _________________________________________ Logfile of HijackThis v1.99.0 Scan saved at 22:56:41, on 21.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Matrox X.tools\System\digisc.exe C:\WINDOWS\System32\mgabg.exe C:\PROGRA~1\Firewall\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\PDesk\PDesk.exe C:\WINDOWS\system32\CTHELPER.EXE C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\WINDOWS\Mixer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Dokumente und Einstellungen\RTX 100\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Firewall\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [TrafficMonitor] C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: The Bat.lnk = C:\Programme\e-Mail Programm The Bat\thebat.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - hxxp://63.217.29.115/cax.cab O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://G:\components\hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://G:\components\A9.ocx O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://207.188.7.150/312ca5aaf01662716c17/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093088950656 O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://G:\components\wmvhdrating.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{71EC9253-1B4B-488C-A09F-034B7091A81D}: NameServer = 217.237.150.141 217.237.150.97 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: DigiCtrl - Matrox Electronic Systems - C:\Programme\Matrox X.tools\System\digisc.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Firewall\OUTPOS~1.0\outpost.exe -------------------------------------------------------------- Ein paar der Einträge kommen mir schon etwas seltsam vor. Befor ich mich aber ans Löschen mache, möchte ich doch lieber Eure Meinung einholen. Viele Grüße Chris |
@htx1992 gebe HJT bitte einen eigenen ordner weschle in den abgesicherten modus und lösche manuell C:\docume~1/rtx100~1/lokale~~1/temp/bat3.tmp Temporary Internet Files Leere diese Ordner: C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp C:\WINDOWS\Downloaded Program Files C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files fixe mit HJT O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab wenn du diesen einträge nicht kennst, dann fixen O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://G:\components\hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://G:\components\A9.ocx O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/312ca5aaf01662...RdxIE601_de.cab O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://G:\components\wmvhdrating.ocx neu starten und ein neues logfile posten Ein paar der Einträge kommen mir schon etwas seltsam vor welche denn? chaosman |
Danke für die schnelle Antwort: Habe beide ordner im abgesicherten Modus geleert und die fünf angegebenen Einträge gefixt. Allerdings taucht jetzt immer noch ein Eintrag mit 016 auf, und nach einem Neustart hat AntiVirus auch wieder eine batX.tmp - Datei gefunden. Hier das neue log-file: -------------------------------------------------------- Logfile of HijackThis v1.99.0 Scan saved at 13:37:49, on 23.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Matrox X.tools\System\digisc.exe C:\WINDOWS\System32\mgabg.exe C:\PROGRA~1\Firewall\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\PDesk\PDesk.exe C:\WINDOWS\system32\CTHELPER.EXE C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\WINDOWS\Mixer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\e-Mail Programm The Bat\thebat.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\TightVNC\WinVNC.exe C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Firewall\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [TrafficMonitor] C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: The Bat.lnk = C:\Programme\e-Mail Programm The Bat\thebat.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093088950656 O17 - HKLM\System\CCS\Services\Tcpip\..\{71EC9253-1B4B-488C-A09F-034B7091A81D}: NameServer = 217.237.150.141 217.237.150.97 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: DigiCtrl - Matrox Electronic Systems - C:\Programme\Matrox X.tools\System\digisc.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Firewall\OUTPOS~1.0\outpost.exe Viele Grüße Chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board