Trojaner-Board - Mehrere Funde! Bitte um Hilfe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mehrere Funde! Bitte um Hilfe (https://www.trojaner-board.de/40292-mehrere-funde-bitte-um-hilfe.html)

Mehrere Funde! Bitte um Hilfe

Hi @ all,
hab heute e-scan laufen lassen, welcher auch mehrere Funde angezeigt hat!
Irgendwie hat das Programm allerdings die find.zip nicht gespeichert. :( Habe mir aber die Funde notiert:

- "Gokster"
- "trojan-downloader.bat.ftp.ab" (3x)
- "smitfraud Browser Hijacker"
- "ace club casino"
- "progent Trojan"

Danach habe ich mal Spyware Docter laufen lassen und der hat mir folgende Funde angezeigt:

- "Trojan.PSW"
- "Keenvalue"

Anbei poste ich noch ein aktuelles HiJack:

Logfile of HijackThis v1.99.1
Scan saved at 12:46:34, on 25.6.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\***\Vollversionen\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com
O1 - Hosts: 207.210.117.53 w*w.winmx.c*m
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/...x/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1178096147375
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) -
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MPS9 - McAfee, Inc. - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wie werde ich die o.g. Plagegeister wieder los??? Bitte um Hilfe!

LG
joerg83

Hi,
hast du die find.bat durchlaufen lassen und hast das sich öffnenede Textdokument nicht gespeichert, oder hast du die find.zip (die es so derzeit leider nicht gibt. ->find.bat per rechtsklick und speichern unter direkt speichern) nicht herunterladen können?

Wenn wir die Funde bewerten sollen müssten wir auch wissen, wo sie gefunden wurden, daher wäre es wahrscheinlich am einfachsten das mit der find.bat nochmal zu versuchen.

In deinem HJT-Log kann ich jetzt erstmal nichts erkennen, benenn aber vllt mal hijackthis.exe um in abc.exe understell ein neues log. Evtl sieht man dann mehr.

lg myrtille

Hi, ja kann die find.bat nicht runterladen! :heulen:

Einfach rechtsklick auf den Link zur find.bat, dann im Menü "Ziel speichern unter" anwählen und schon sollte sich die find.bat auf deinen Rechner begeben.

lg myrtille

Hier das E-Scan-Log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.8
Sprache: German
C:\DOKUME~1\MARK~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ace club casino Spyware/Adware (gamelog.ini)! Action taken: Keine Aktion vorgenommen.
System found infected with progent Trojan (mps.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with progent Trojan (mps.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ace club casino Spyware/Adware (gamelog.ini)! Action taken: Keine Aktion vorgenommen.
System found infected with progent Trojan (mps.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with progent Trojan (mps.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Markö\Anwendungsdaten\microsoft games\rise of nations\gamelog.ini
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Markö\Anwendungsdaten\microsoft games\rise of nations\gamelog.ini
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Markö\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Markö\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKCU\\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :207.210.117.53 www.winmx.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 121391
Gescannte Dateien: 24618
Gefundene Viren: 8
Gefundene Viren: 8
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 85
Anzahl Fehler: 42
Dauer des Scans bisher: 01:31:48
Dauer des Scans bisher: 00:02:57
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:58:08,39
Batchende: 13:58:18,67

LG
joerg83

Hi,
hast oder hattest du mal smitfraudfix installiert?
Ist dieser Eintrag in der host-datei absicht: 207.210.117.53 www.winmx.com ?
Bzw kennst du die Seite?

lg myrtille

Nein ich kenne beide Einträge bzw. Seiten nicht!!!

Wie ists mit smitfraudfix?

winmx sagt dir was?

Ansonsten den Eintrag löschen.
Ich denk dann sollte gut sein.

lg myrtille

Zitat:

Zitat von myrtille (Beitrag 275507)

Wie ists mit smitfraudfix?

Wie gesagt, kenne ich nicht!

Eben wure noch: Win32/PrcViewgefunden!
in: c:\windows\system32\process.exe

Zudem spinnt auch noch meine DSL Leitung rum, d.h. sie wird stänig getrennt!

jörg

Dann lass die Dateien, bitte mal virustotal auswerten.

Zitat:

Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe

EDIT:

Zitat:

Eben wure noch: Win32/PrcViewgefunden!
in: c:\windows\system32\process.exe

von wem?

lg myrtille

Scan dauert an!!!

Zitat:

Zitat von myrtille (Beitrag 275516)

EDIT:

von wem?

lg myrtille

Von Anti-Malware 3.0 (EMSI-Software)

jörg

1.) Was genau willst du machen? :confused:
2.) Warum willst du das machen? :confused:
3.) Eröffne für deine Fragen bitte einen eigenen Thread.
4.)dariks boot and nuke, damit kannst du deine Platte komplett und engültig formatieren. Dann ist da nichts mehr drauf.

Zitat:

Zitat von myrtille (Beitrag 275521)

Gehe mal davon aus, dass das nicht für mich bestimmt war!

Zitat:

Zitat von joerg83 (Beitrag 275523)

Gehe mal davon aus, dass das nicht für mich bestimmt war!

Riischdiiiiiiiisch! :D

Moin - Virustotal scheint down zu sein! Würde eine Auswertung von Jotti auch reichen??

LG
jörg

Danke für die Info... geh dann gleich mal gucken. :)

Jotti geht natürlich auch. :)

lg myrtille

Hier die Ergebnisse von Jotti:

Datei: Process.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
Bit9 rapportiert: Not analyzed yet (more info)

A-Squared
Riskware.RiskTool.Win32.Processor.20 gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Tool.Prockill gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Win32/PrcView application gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

You searched for
MD5: 7397f6ee4a9601a123b645c0cd428017

Your hash has been found in 12 Package(s)
----------------------------------------------------------------

Datei: swreg.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
UPX
Bit9 rapportiert: Not analyzed yet (more info)

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

You searched for
MD5: e417d888fdde9a2290c369c82a7aec3e

Your hash has been found in 1 Package(s).
---------------------------------------------------------------

Datei: swsc.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
UPX
Bit9 rapportiert: Not analyzed yet (more info)

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

You searched for
MD5: c16b1595e3c2ffc875ef28bf66ec557f

Your hash has been found in 1 Package(s).

LG
jörg

Ok. :kloppen:
Das:

Zitat:

Datei: Process.exe
A-Squared
Riskware.RiskTool.Win32.Processor.20 gefunden
NOD32
Win32/PrcView application gefunden

überzeugt mich jetzt doch davon, dass du wohl mal Smitfraudfix aufm System hattest. :p
(Die 3 Dateien zusammen schrien sowieso schon Smitfraudfix. ;) Jetzt bin ich mir sicher, dass es die typischen Fehlalarme von Smitfraudfix sind.)

Da das Programm offensichtlich nicht mehr funktionsfähig ist, kannst du auch diese Dateien einfach löschen und bist damit die Meldungen los. ;)
Du kannst noch nen Scan mit Blacklight machen, um Rootkits auszuschließen, und vllt noch adaware aber ich vermute du bist sauber. :)

lg myrtille

Hab Blacklight und Adaware nocmal laufen lassen, es wurde allerdings nichts gefunden!!!

Vielen Dank für Deine Mühe!!!! :daumenhoc

LG
jörg