Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   AVG meldet ntoskrnl.exe Brauche Hilfe! (https://www.trojaner-board.de/37392-avg-meldet-ntoskrnl-exe-brauche-hilfe.html)

eternal 27.03.2007 08:42
AVG meldet ntoskrnl.exe Brauche Hilfe!
 
Hallo zusammen,

leider habe ich hier ein kleines Problem,
mit dem ich mich nicht so gut auskenne.
AVG hat folgende Datei bei einem Systemdurchlauf gemeldet:
"C:/WINDOWS/system32/ntoskrnl.exe"

Ich habe hier anbei mein HiJackThis Log-File.
Wäre nett, wenn ihr euch dieses einmal anschauen könntet:

Logfile of HijackThis v1.99.1
Scan saved at 09:33:26, on 27.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgwb.dat
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Bay Online - Piraten, Händler & Entdecker | powered by yusho GmbH
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

Als Viren-Programme habe ich momentan installiert
und ausgeführt:
Ad-Aware
SpyBot
Anti-Vir
AVG

Des Weiteren habe ich nun auch noch einen eScan durchgeführt:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Tue Mar 27 09:58:11 2007 => Deleting Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f}
Tue Mar 27 09:57:03 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:12:50 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:15:43 2007 => Virus Database Date: 3/26/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 27 09:58:02 2007 => System found infected with bravesentry Spyware/Adware (xpupdate.exe)! Action taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue Mar 27 09:58:02 2007 => Offending file found: C:\DOKUME~1\ADMINI~1\Desktop\USB-ST~1\torben\xpupdate.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue Mar 27 09:58:11 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Bitte sagt mir, was ich tun kann und sollte.

Mellosun 27.03.2007 09:39
Guten Morgen,


Zitat:
Zitat von eternal (Beitrag 260067)
AVG hat folgende Datei bei einem Systemdurchlauf gemeldet:
"C:/WINDOWS/system32/ntoskrnl.exe"
Was hat Dir AVG bezüglich dieser datei gemeldet?
Um was soll es sich handeln?

Hast du Probleme mit Deinem Rechner?

Warum sind bei Dir zwei AV Programme Installiert?
Deinstalliere eines der beiden! Zwei gleichzeitig laufende Wächter/Programme können zu schweren Problemen führen und behindern sich gegenseitig!

Gruß Mello

eternal 27.03.2007 09:46
Hallo mellosun,

ich habe AVG und AntiVir laufen,
da ich so einen guten Schutz erreichen möchte.
Sicherlich kann dies bei einigen Virenprogrammen zu
Problemen führen, jedoch laufen AVG und Anti-Vir perfekt nebeneinander.
Leider habe ich gerade keinen Link mit einem Testbericht zur Hand.

AVG schrieb nur "changed" zu dieser Datei.
Beunruhigen tun mich auch die von eScan gefundenen Sachen.
Mein Pc macht bisher keinerlei Probleme.

Weißt du näheres zu den gefundenen Sachen?
Wie sollte ich weiter verfahren?

eternal 30.03.2007 13:27
Ich hoffe ihr könnt mir endlich helfen! :(

Sunny 30.03.2007 13:33
Hallo. :)

1.) Entscheide dich für einen AV-Scanner, auch wenn sie augenscheinlich "gut" miteinander arbeiten, denn auch mit 2 Scannern gleichzeitig wirst du keinen Schutz erreichen!!!

2.) Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:
C:/WINDOWS/system32/ntoskrnl.exe
C:\DOKUME~1\ADMINI~1\Desktop\USB-ST~1\torben\xpupdate.exe
* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

eternal 30.03.2007 14:30
Hier die Reports:

Antivirus Version Update Result
AhnLab-V3 2007.3.30.0 03.30.2007 no virus found
AntiVir 7.3.1.46 03.30.2007 no virus found
Authentium 4.93.8 03.30.2007 no virus found
Avast 4.7.936.0 03.30.2007 no virus found
AVG 7.5.0.447 03.29.2007 no virus found
BitDefender 7.2 03.30.2007 no virus found
CAT-QuickHeal 9.00 03.29.2007 no virus found
ClamAV devel-20070312 03.30.2007 no virus found
DrWeb 4.33 03.30.2007 no virus found
eSafe 7.0.15.0 03.29.2007 no virus found
eTrust-Vet 30.6.3524 03.30.2007 no virus found
Ewido 4.0 03.30.2007 no virus found
FileAdvisor 1 03.30.2007 Not analyzed yet
Fortinet 2.85.0.0 03.30.2007 no virus found
F-Prot 4.3.1.45 03.30.2007 no virus found
F-Secure 6.70.13030.0 03.30.2007 no virus found
Ikarus T3.1.1.3 03.30.2007 no virus found
Kaspersky 4.0.2.24 03.30.2007 no virus found
McAfee 4995 03.29.2007 no virus found
Microsoft 1.2306 03.30.2007 no virus found
NOD32v2 2157 03.30.2007 no virus found
Norman 5.80.02 03.30.2007 no virus found
Panda 9.0.0.4 03.30.2007 no virus found
Prevx1 V2 03.30.2007 no virus found
Sophos 4.16.0 03.30.2007 no virus found
Sunbelt 2.2.907.0 03.29.2007 no virus found
Symantec 10 03.30.2007 no virus found
TheHacker 6.1.6.083 03.30.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.3 03.29.2007 no virus found
VirusBuster 4.3.7:9 03.29.2007 no virus found
Webwasher-Gateway 6.0.1 03.30.2007 no virus found

Aditional Information
File size: 2138624 bytes
MD5: 6a5f324a815e66feb3961598ee585eeb
SHA1: ccd22484708e759fecdb104e7a8ea455c10805a5
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=6a5f324a815e66feb3961598ee585eeb

Die andere Datei lies sich leider nicht mehr finden.
Evtl. schon von einem Virenscanner gelöscht?
(Wäre lieb, wenn ihr mir eine Empfehlung geben könntet,
ob avg oder anti-vir)

Sunny 30.03.2007 14:36
Welche Datei hast du denn jetzt auswerten lassen bzw. welche konnte nicht mehr gefunden werden?

Mach auf jeden Fall noch einmal einen eScan.

Gefunden wurde auf jeden Fall etwas... ;)

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

eternal 30.03.2007 14:38
Hey Sunny,

habe nun die Datei "ntoskrnl" vom Viruscommander checken lassen.
Die andere Datei lässt sich nach wie vor nicht finden.
Oben habe ich doch schon einmal eScan ausgeführt und
auch das Log gepostet. Bitte beachte dies.
Dies ist noch absolut aktuell, da ich danach im Urlaub war die Woche.
Also, irgendeine Idee?

Sunny 30.03.2007 14:45
Das Log ist keinesfalls aktuell, ich muss wissen ob diese Datei...

Zitat:

C:\DOKUME~1\ADMINI~1\Desktop\USB-ST~1\torben\xpupdate.exe
...sich immer noch auf dem System befindet, dahinter könnte sich z.B. dieser Schädling verstecken -> W32/Rbot-QE

Und nur weil du ihn nicht findest, heisst es noch lange nicht das er nicht mehr da ist. ;)

Du siehst ja selbst was er anstellen kann:

Zitat:
Zitat von Sophos
* Ermöglicht Dritten den Zugriff auf den Computer
* Stiehlt Daten
* Lädt Code aus dem Internet herunter
* Reduziert die Systemsicherheit
* Speichert Tastenfolgen
* Installiert sich in der Registrierung
Sunny

eternal 31.03.2007 08:45
So Sunny und alle anderen,

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 27 09:56:55 2007 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com)
Tue Mar 27 09:57:44 2007 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com)
Tue Mar 27 09:58:11 2007 => Deleting Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f}
Fri Mar 30 15:50:23 2007 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com)
Fri Mar 30 15:53:43 2007 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com)
Fri Mar 30 15:54:10 2007 => Deleting Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f}
Tue Mar 27 09:57:03 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:12:50 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:15:43 2007 => Virus Database Date: 3/26/2007
Fri Mar 30 15:50:26 2007 => Virus Database Date: 3/26/2007
Fri Mar 30 15:53:14 2007 => Virus Database Date: 3/30/2007
Fri Mar 30 16:30:29 2007 => Virus Database Date: 3/30/2007
Fri Mar 30 16:35:33 2007 => Virus Database Date: 3/30/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 27 09:58:02 2007 => System found infected with bravesentry Spyware/Adware (xpupdate.exe)! Action taken: Entries Removed.
Tue Mar 27 09:58:02 2007 => Object "bravesentry Spyware/Adware" found in File System! Action Taken: Entries Removed.
Tue Mar 27 09:58:31 2007 => Object "Possible Fujacks-type Worm" found in File System! Action Taken: Entries Removed.
Fri Mar 30 15:54:01 2007 => Object "grokster Spyware/Adware" found in File System! Action Taken: Entries Removed.
Fri Mar 30 15:54:10 2007 => Object "Possible Fujacks-type Worm" found in File System! Action Taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Fri Mar 30 15:56:19 2007 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Posteingang\[From:*delete*][Subject:WG: Hinweis zu geanderter E-Mail-Adresse Ebay... infected by "Trojan-Downloader.Win32.Agent.bgd" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue Mar 27 09:58:02 2007 => Offending file found: C:\DOKUME~1\ADMINI~1\Desktop\USB-ST~1\torben\xpupdate.exe
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue Mar 27 09:58:11 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f} !!!
Fri Mar 30 15:54:01 2007 => Offending Key found: HKCU\\magnet !!!
Fri Mar 30 15:54:10 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 27 10:12:50 2007 => Total Errors: 51
Fri Mar 30 16:30:29 2007 => Total Errors: 1
Tue Mar 27 10:12:50 2007 => Time Elapsed: 00:15:06
Fri Mar 30 16:30:29 2007 => Time Elapsed: 00:36:46
Tue Mar 27 10:12:50 2007 => Total Objects Scanned: 90133
Fri Mar 30 16:30:29 2007 => Total Objects Scanned: 97572
Tue Mar 27 09:57:03 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:12:50 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:15:43 2007 => Virus Database Date: 3/26/2007
Fri Mar 30 15:50:26 2007 => Virus Database Date: 3/26/2007
Fri Mar 30 15:53:14 2007 => Virus Database Date: 3/30/2007
Fri Mar 30 16:30:29 2007 => Virus Database Date: 3/30/2007
Fri Mar 30 16:35:33 2007 => Virus Database Date: 3/30/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 27 09:57:44 2007 => Memory Check: Enabled
Fri Mar 30 15:53:43 2007 => Memory Check: Enabled
Tue Mar 27 09:57:44 2007 => Registry Check: Enabled
Fri Mar 30 15:53:43 2007 => Registry Check: Enabled
Tue Mar 27 09:57:44 2007 => StartUp Folder Check: Disabled
Fri Mar 30 15:53:43 2007 => StartUp Folder Check: Disabled
Tue Mar 27 09:57:44 2007 => System Area Check: Disabled
Fri Mar 30 15:53:43 2007 => System Area Check: Disabled
Tue Mar 27 09:57:44 2007 => Services Check: Enabled
Fri Mar 30 15:53:43 2007 => Services Check: Enabled
Tue Mar 27 09:57:44 2007 => Drive Check: Disabled
Tue Mar 27 09:57:44 2007 => All Drive Check :Enabled
Fri Mar 30 15:53:43 2007 => Drive Check: Disabled
Fri Mar 30 15:53:43 2007 => All Drive Check :Enabled
Tue Mar 27 09:57:44 2007 => All Drive Check :Enabled
Fri Mar 30 15:53:43 2007 => All Drive Check :Enabled
--------------------------------------------------
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MWAV.LOG
--------------------------------------------------
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 27 09:56:55 2007 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com)
Tue Mar 27 09:57:44 2007 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com)
Tue Mar 27 09:58:11 2007 => Deleting Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f}
Fri Mar 30 15:50:23 2007 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com)
Fri Mar 30 15:53:43 2007 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com)
Fri Mar 30 15:54:10 2007 => Deleting Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f}
Tue Mar 27 09:57:03 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:12:50 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:15:43 2007 => Virus Database Date: 3/26/2007
Fri Mar 30 15:50:26 2007 => Virus Database Date: 3/26/2007
Fri Mar 30 15:53:14 2007 => Virus Database Date: 3/30/2007
Fri Mar 30 16:30:29 2007 => Virus Database Date: 3/30/2007
Fri Mar 30 16:35:33 2007 => Virus Database Date: 3/30/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 27 09:58:02 2007 => System found infected with bravesentry Spyware/Adware (xpupdate.exe)! Action taken: Entries Removed.
Tue Mar 27 09:58:02 2007 => Object "bravesentry Spyware/Adware" found in File System! Action Taken: Entries Removed.
Tue Mar 27 09:58:31 2007 => Object "Possible Fujacks-type Worm" found in File System! Action Taken: Entries Removed.
Fri Mar 30 15:54:01 2007 => Object "grokster Spyware/Adware" found in File System! Action Taken: Entries Removed.
Fri Mar 30 15:54:10 2007 => Object "Possible Fujacks-type Worm" found in File System! Action Taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Fri Mar 30 15:56:19 2007 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Posteingang\[From:*-*, Jutta][Subject:WG: Hinweis zu geanderter E-Mail-Adresse Ebay... infected by "Trojan-Downloader.Win32.Agent.bgd" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue Mar 27 09:58:02 2007 => Offending file found: C:\DOKUME~1\ADMINI~1\Desktop\USB-ST~1\torben\xpupdate.exe
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue Mar 27 09:58:11 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f} !!!
Fri Mar 30 15:54:01 2007 => Offending Key found: HKCU\\magnet !!!
Fri Mar 30 15:54:10 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 27 10:12:50 2007 => Total Errors: 51
Fri Mar 30 16:30:29 2007 => Total Errors: 1
Tue Mar 27 10:12:50 2007 => Time Elapsed: 00:15:06
Fri Mar 30 16:30:29 2007 => Time Elapsed: 00:36:46
Tue Mar 27 10:12:50 2007 => Total Objects Scanned: 90133
Fri Mar 30 16:30:29 2007 => Total Objects Scanned: 97572
Tue Mar 27 09:57:03 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:12:50 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:15:43 2007 => Virus Database Date: 3/26/2007
Fri Mar 30 15:50:26 2007 => Virus Database Date: 3/26/2007
Fri Mar 30 15:53:14 2007 => Virus Database Date: 3/30/2007
Fri Mar 30 16:30:29 2007 => Virus Database Date: 3/30/2007
Fri Mar 30 16:35:33 2007 => Virus Database Date: 3/30/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 27 09:57:44 2007 => Memory Check: Enabled
Fri Mar 30 15:53:43 2007 => Memory Check: Enabled
Tue Mar 27 09:57:44 2007 => Registry Check: Enabled
Fri Mar 30 15:53:43 2007 => Registry Check: Enabled
Tue Mar 27 09:57:44 2007 => StartUp Folder Check: Disabled
Fri Mar 30 15:53:43 2007 => StartUp Folder Check: Disabled
Tue Mar 27 09:57:44 2007 => System Area Check: Disabled
Fri Mar 30 15:53:43 2007 => System Area Check: Disabled
Tue Mar 27 09:57:44 2007 => Services Check: Enabled
Fri Mar 30 15:53:43 2007 => Services Check: Enabled
Tue Mar 27 09:57:44 2007 => Drive Check: Disabled
Tue Mar 27 09:57:44 2007 => All Drive Check :Enabled
Fri Mar 30 15:53:43 2007 => Drive Check: Disabled
Fri Mar 30 15:53:43 2007 => All Drive Check :Enabled
Tue Mar 27 09:57:44 2007 => All Drive Check :Enabled
Fri Mar 30 15:53:43 2007 => All Drive Check :Enabled

Ich wurde durch den Trojaner sogar schon hier im Forum gesperrt.
Wird wohl doch etwas sein *seufzer*
Sry Sunny, man sollte seinen eScan schon mal updaten *shy*
So, hoffe ihr könnt mir helfen...

eternal 01.04.2007 09:27
Sunny kannst du mir nicht weiterhelfen?

Sunny 01.04.2007 10:06
Zitat:
Zitat von eternal (Beitrag 260712)
Sunny kannst du mir nicht weiterhelfen?
Doch, aber du hast ja meinen Beitrag nicht richtig gelesen was du tun sollst.
Daher also nochmal:


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\DOKUME~1\ADMINI~1\Desktop\USB-ST~1\torben\xpupdate.exe
* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Sunny

eternal 01.04.2007 11:08
Hallo Sunny,
leider kann ich diese Datei wie gesagt nicht finden. :heulen:
Ich habe dir einmal einen Screenshot von dem Ordner gemacht.
Es sind alles nur Installationsdateien, die ich gerne zum "Neuaufsetzen des Systems" verwende.

http://www.bilder-hochladen.net/files/thumbs/2e7o-1.jpg

Kannst es dir ja mal bitte anschauen und mir antworten.
Danke!

eternal 01.04.2007 11:11
http://www.bilder-hochladen.net/files/2e7o-1-jpg.html

Sunny 01.04.2007 11:26
Mach folgendes, klicke auf die Seite von Virustotal und kopiere in das weiße Feld auf der Seite diesen Dateipfad:

Zitat:
C:\DOKUME~1\ADMINI~1\Desktop\USB-ST~1\torben\xpupdate.exe
eScan findet diese Datei dort immer noch, vielleicht ist sie einfach nur gut getarnt. ;)

Sunny

eternal 01.04.2007 11:36
Dann kommt folgende Meldung:

0 bytes size received / Se ha recibido un archivo vacio

Beunruhigen tun mich aber auch die von eScan gefundenen Sachen.
Kannst du mir dazu bitte auch Auskunft geben?
Ist ein "Neuaufsetzen des Systems" ratsam,
oder ist der Virus "Win32.agent.bgd" noch nicht aktiviert?

eternal 02.04.2007 17:27
Wäre nett, wenn mir jemand helfen könnte.
Muss ich meinen Pc neu aufsetzen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20