|
Werde Bat.ftp nicht los. Bitte Log checken! Liebe Helfer von Trojaner-Board, Auf meinem Computer läuft Windows 2000 Professional. Habe vor ein paar Tagen die Festplatte bei F-Secure scannen lassen, nachdem die Sygate Firewall plötzlich ausgefallen war. Dabei wurde der Trojaner-Downloader bat.ftp entdeckt, sowie weitere suspekte Dateien, deren Namen ich leider nicht notiert habe. Habe daraufhin mit dem a2-Guard einen weiteren Scan durchgeführt und konnte alles bis auf den bat.ftp entfernen. Seitdem funktioniert alles bestens, Internet ist NICHT langsam, und ich werde auch nicht auf unerwünschte Seiten umgeleitet. Habe momentan folgende Schutzprogramme installiert: McAfee Personal Firewall Plus, AntiVir PE, Spy Sweeper und a2-Guard. Aber diese Datei bat.ftp beunruhigt mich. Was kann die anrichten und was muss ich tun, um sie loszuwerden? Hier noch mein HijackThis Logfile. Bedanke mich schon mal im Voraus. Bitte um Laien-freundliche Antwort, bin noch nicht allzu versiert auf dem ganzen Gebiet. Vielen lieben Dank! Chavita Logfile of HijackThis v1.99.1 Scan saved at 23:45:10, on 03.06.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\Programme\HijackThis\1_99_1.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe O4 - HKLM\..\Run: [internet service] svho0st98.exe O4 - HKLM\..\Run: [Compaq Service Drivers] winsvc.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKLM\..\RunServices: [internet service] svho0st98.exe O4 - HKLM\..\RunServices: [Compaq Service Drivers] winsvc.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [Compaq Service Drivers] winsvc.exe O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe" O4 - HKCU\..\RunServices: [Compaq Service Drivers] winsvc.exe O4 - Startup: McAfee Security Center (2).lnk = C:\Programme\McAfee.com\agent\mcagent.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZN O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149007220367 O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4774/mcfscan.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINNT\system32\Brmfrmps.exe" -service (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe |
Hallo, scanne folgende Dateien bei virustotal.com, freunde Dich aber schon mal mit einem Neuaufsetzen an, wie in meiner Signatur verlinkt. suchen, scannen, Ergebnis hier posten svho0st98.exe winsvc.exe Gruß Schrulli |
Hallo Schrulli, vielen lieben Dank für die prompte Antwort. Habe nach den beiden Dateien gesucht, erfolglos. Ist das ein gutes oder ein schlechtes Zeichen? Komme ich um die Formatierung von C wirklich nicht herum? Danke nochmal + Gruss Chavita |
Hast du das Anzeigen aller Dateien aktiviert? Also auch die versteckten und geschützten Systemdateien. |
Hallo cosinus, ja ich habe im Windows-Explorer "Alle Dateien und Ordner anzeigen" aktiviert... Kann es sein, dass das Suchsystem nicht richtig arbeitet? Der Suchvorgang ist immer relativ fix abgeschlossen. Wo müßten diese beiden Dateien sich denn befinden? Dann such ich mal "zu Fuß" durch... Danke + Gruss Chavita |
Und die geschützten Systemdateien? Der Haken dort muss raus. http://people.freenet.de/rene-gad/invisible/Bild4.gif Lass auch mal den Blacklight durchlaufen. |
Den Haken habe ich auch eben noch rausgenommen, die Dateien wurden aber trotzdem nicht gefunden. Lasse gerade Blacklight durchscannen... Danke für den Tipp. Müßte der die beiden Dateien finden? Danke + Gruss Chavita |
Blacklight hat nichts gefunden... |
Hallo an die Helfer, also ich kann die Dateien leider nicht finden. Wo müßten sich diese befinden? Kann es sein, dass ich sie schon mit dem a2-Guard entfernt habe (siehe mein erster Eintrag)? Werde wohl C formatieren müssen oder? Bitte noch ein Feedback hierzu. Tausend Dank für die Hilfe! Chavita |
Ich würde sicherheitshalber neu aufsetzen. Google mal nach winsvc.exe, scheint mit hoher Wahrscheinlichkeit was richtig fieses zu sein. |
Hey ohne Brett vorm Kopf geht alles plötzlich besser *gg*... Die Dateien sind ja in meinem HJT-Logfile angezeigt... komisch, dass sie nicht auffindbar sind... Tja, ich werde also neu aufsetzen. Sollte irgendjemand anderer Meinung sein: bin für alle Tipps offen! Vielen Dank cosinus + Schrulli für die Hilfe! Gruss Chavita |
Frage zum Neuaufsetzen Windows 2000 Sorry, jetzt ist noch eine Frage bezüglich o.g. Vorgang aufgetaucht. Ich habe auf dem Computer neben der Festplatte C noch einen Datenträger F. Muss ich den auch formatieren? Da sind keine Programme drauf, nur unsere Dateien, Schriftverkehr, Fotos, Musik etc. Hunderttausend Dank :-) + Gruss Chavita |
Hallo, so wie die Situation von Dir beschrieben ist, musst Du diese nicht formatieren, aber mittels eines AV scannen lassen. Gruß Schrulli |
Vielen lieben Dank derweil Schrulli ! Gruss Chavita |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:57 Uhr. |
Copyright ©2000-2024, Trojaner-Board