|
Trojaner Hallo zusammen, ich hab die Befürchtung, dass sich zwei Trojaner Dateien bei mir eingenistet haben. Leider komm ich nicht dran und kann sie nicht löschen. Könnt ihr mir vielleicht über die Logfile helfen? Gruß Wörb Logfile of HijackThis v1.99.1 Scan saved at 14:43:40, on 07.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe c:\programme\mcafee.com\agent\mcdetect.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe c:\PROGRA~1\mcafee.com\agent\mctskshd.exe c:\PROGRA~1\mcafee.com\vso\OasClnt.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe c:\programme\mcafee.com\vso\mcvsshld.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe c:\programme\mcafee.com\agent\mcagent.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ]*ttp://***.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ****://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ****://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://****.***.dell.com/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\adsmsextp.exe O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsmsextp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\adsmsextp.exe O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\adsmsextp.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - ***://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - ***://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - ***://67.15.101.3/g_bin/eng/poker_2_0_0_43.cab O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - ***://67.15.101.3/g_bin/eng/mahjong_2_0_0_24.cab O16 - DPF: {F1946764-3B40-4BE3-A87D-F371B112308F} (WPActiveX Control) - ***://rcsmiletiger.bitmedia.cc/wp/wpax.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe |
Hi, lass bitte die Datei: Zitat:
lg myrtille EDIT: moin Sunny :) Bitte Sunnys Post befolgen, da viel ausführlicher. ;) |
Hallo. :) 1.) Welche Dateien wurden dir denn von deinem AV-Scanner benannt, bei denen es sich um Schädlinge handeln soll? Bitte genau Verzeichnisangabe posten. Sieh mal in dem letzten Report von McAfee nach.. ;) 2.) Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Gruß Sunny |
Hallo, leider kann ich diese Datei im "System32" Ordner nicht finden. Aber sobald ich den PC starte will er genau diese Datei zwei mal ausführen. Hab heute eine E-Mail, die angeblich von 1&1 kam, geöffnet. Dort war eine Rechnung angehängt, welche ich zweimal versucht habe zu öffnen. Die E-Mail war gut gemacht und da ich mal Kunde bei 1&1 war, naja... Gibt es eine Möglichkeit irgendwie anders an die Datei zu kommen? Gruß Wörb |
Hi, Dateien sichtbar machen kann man so Ansonsten einfach mal versuchen den Pfad bei virustotal ins Fenster einzugeben, gelegentlich funktioniert das auch. Wenn du allerdings glaubst, dass der Anhang für deinen Virus zuständig ist, kannst du auch einfach den Anhang mal bei virustotal hochladen und schauen was sich hinter der Rechnung in Wirklichkeit versteckt. lg myrtille |
Zitat:
Die Mail war auch nicht gut gemacht, aber für die üblichen Verdächtigen hats mal wieder gereicht. Nämlich für diejenigen, die meinen, ein Virenscanner schützt auch dann, wenn man das Hirn abschaltet. Nimms nicht persönlich, aber lass es dir eine Lehre sein. Entfernungshinweise findest du z.B. unter trojaner in 1und1 rechnung? - Rokop Security , ich persönlich würde aber mein System neu aufsetzen. Gruß :daumenhoc Yopie |
@woerb Mach mal das was Myrtille auch schon schrieb: Zitat:
Gruß Sunny |
Hallo, so hat jetzt doch mit dem direkt den Pfad eintippen geklpappt. Hier also das Ergabnis von VirusTotal. Gruß Wörb ------------------ STATUS: FINISHEDComplete scanning result of "adsmsextp.exe", received in VirusTotal at 01.07.2007, 15:18:08 (CET). Antivirus Version Update Result AntiVir 7.3.0.21 01.07.2007 HEUR/Crypted Authentium 4.93.8 12.30.2006 no virus found Avast 4.7.892.0 12.30.2006 no virus found AVG 386 01.06.2007 no virus found BitDefender 7.2 01.07.2007 no virus found CAT-QuickHeal 9.00 01.06.2007 (Suspicious) - DNAScan ClamAV devel-20060426 01.07.2007 Trojan.Downloader-462 DrWeb 4.33 01.07.2007 Trojan.DownLoader.17212 eSafe 7.0.14.0 01.07.2007 no virus found eTrust-InoculateIT 23.73.107 01.06.2007 no virus found eTrust-Vet 30.3.3307 01.06.2007 no virus found Ewido 4.0 01.06.2007 no virus found Fortinet 2.82.0.0 01.07.2007 suspicious F-Prot 3.16f 01.05.2007 no virus found F-Prot4 4.2.1.29 01.05.2007 no virus found Ikarus T3.1.0.27 01.07.2007 Trojan-Downloader.Win32.Small.dib Kaspersky 4.0.2.24 01.07.2007 Backdoor.Win32.Agent.akf McAfee 4933 01.05.2007 no virus found Microsoft 1.1904 01.07.2007 no virus found NOD32v2 1960 01.06.2007 no virus found Norman 5.80.02 12.31.2007 Suspicious_F.gen Panda 9.0.0.4 01.07.2007 Suspicious file Prevx1 V2 01.07.2007 Virus.Rechnung Sophos 4.13.0 01.05.2007 Mal/Packer Sunbelt 2.2.907.0 01.05.2007 VIPRE.Suspicious TheHacker 6.0.3.145 01.07.2007 no virus found UNA 1.83 01.06.2007 no virus found VBA32 3.11.1 01.07.2007 no virus found VirusBuster 4.3.19:9 01.06.2007 novirus:Packed/FSG Aditional Information File size: 9181 bytes MD5: 19a960f2ae534915040bcb60afaa295f SHA1: 446daf524cb3508edf3014d93fee11c4b7dc451b packers: FSG packers: FSG Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=864168551064 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
Zitat:
Soll ich wie in dem Beispiel vorgehen, um die Dateien zu entfernen oder muss ich etwas anderes beachten? Gruß Wörb |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board