Trojaner-Board - Kaspersky und eScan melden Trojaner!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Kaspersky und eScan melden Trojaner! (https://www.trojaner-board.de/45809-kaspersky-escan-melden-trojaner.html)

Kaspersky und eScan melden Trojaner!

Servus

neu aufsetzen ist schon ein weilchen her und ich bin vor kurzem umgezogen..
ich nutze neu cablecom und dies (noch) ohne router.

nun bemerkte ich bei diversen programmen, dass diese schlechter ausgeführt werden als ich mir des gewohnt bin...

kaspersky meldete mir schon diverse male, dass versucht wird, registry einträge zu verändern usw.. habe dies natürlich immer verboten (soweit ich mich erinern kann...)

und doch habe ich heute beim genauer hinsehen bemerkt, dass da anscheinend
trojan downloader auf meinem system sein sollen....

kann sich bitte jemand mal mein log file anschauen und mir einen tip geben?
wenn möglich möchte ich natürlich nicht neu aufsetzen :rolleyes:

herzlichen dank für eure hilfe.

gruss, sunset.

Code:

Logfile of HijackThis v1.99.1

Scan saved at 00:05:16, on 14.11.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\PowerISO\PWRISOVM.EXE

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Programme\sony\keyboard closure setup\KSWServ.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\Mozilla Firefox\firefox.exe

D:\Downloads\hijackthis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.club-vaio.sony-europe.com/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Keyboard Closure Setup.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: MANSION - {CD03D14B-0EF6-4f5a-BB81-1ECAFFC676AF} - C:\Programme\MANSION\Villa\MANSION.exe

O9 - Extra 'Tools' menuitem: MANSION - {CD03D14B-0EF6-4f5a-BB81-1ECAFFC676AF} - C:\Programme\MANSION\Villa\MANSION.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=hxxp://www.club-vaio.sony-europe.com/

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe

O23 - Service: VAIO Media Video Server (VAIOMediaPlatform-VideoServer-AppServer) - Unknown owner - C:\Programme\sony\giga pocket\GPVSvr.exe" /Service=VAIOMediaPlatform-VideoServer-AppServer /DisplayName="VAIO Media Video Server (file missing)

O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-VideoServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\VideoServer\HTTP (file missing)

O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe (file missing)

Zitat:

Zitat von sunset603 (Beitrag 304774)

kaspersky meldete mir schon diverse male, dass versucht wird, registry einträge zu verändern usw.. habe dies natürlich immer verboten (soweit ich mich erinern kann...)

Warum "natürlich" verboten? Registryänderungen gehören zur Tagesordnung, auch in den von Kaspersky überwachten Bereichen.

Zitat:

und doch habe ich heute beim genauer hinsehen bemerkt, dass da anscheinend
trojan downloader auf meinem system sein sollen....

Woraus schließt du das? Deinem HJT-log kann ich nichts Auffälliges entnehmen, was allerdings auch nicht viel heißt. Hilfreich wären die logs von Kaspersky und escan. Was wurde wo gefunden?

Gute Nacht

wenn es mir spanisch vorkam, dann habe ich den eingriff verweigert..
hauptsächlich dann, wenn kaspersky den vorfall als bedrohung meldete..

bin aber schon eher paranoid, was die meldungen angeht..

werde heute abend mal die anderen logs posten..

Die hohe Kunst der Paranoia: Paranoid sein, bevor die Meldung kommt. Anschließend wirds deutlich ruhiger und der Klicki-Bunti-Zirkus sinkt auf Null. 180 Puls vorm PC sind schließlich auch nicht das Wahre. :blabla:

Zitat:

Zitat von ordell1234 (Beitrag 304859)

haha, ich weiss schon ungefähr was cool ist und was nicht, aber ich war eigentlich immer nur mit brain.exe unterwegs..
leider hat das proggi manchmal vielleicht nen kleinen spinner und dann fange ich mir halt doch nen wurm ein... :D

als ich die gelegenheit hatte kaspersky zu insallieren hab ich dies dann getan, da ich hier immer gutes darüber gelesen hatte...

auf jeden fall habe ich da gestern folgendes entdeckt:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

beruhigend ist das ja wohl nicht gerade wa? :headbang:

wie gesagt, eScan folgt.

Zitat:

Zitat von sunset603 (Beitrag 304901)

Code:

gefunden: Adware not-a-virus:AdWare.Win32.Casino.r        URL: h**p://***/PokerInstaller?lang=de&s=660020509121963839&os=660020509121963839&sr=105664&osr=105664&flag=No&l=&ic=0&st=0&bc=0&anid=0&se=900000&dl=527

gefunden: trojanisches Programm Trojan-Downloader.JS.Agent.ep        URL: h**p://***3gteam.info/images2/index.php

gefunden: potentiell gefährliche Software Invader (loader)        Prozess: C:\10000 fONTS\bonus\Fontnav\fontnav.exe

gefunden: potentiell gefährliche Software Hidden install        Prozess: F:\installs\cablecom_installer.exe

gefunden: trojanisches Programm Trojan-Downloader.JS.Psyme.le        URL: h**p://***/_ot/ne.cgi?p=admin

gefunden: trojanisches Programm Trojan.HTML.Agent.e        URL: http://themymoviessite.com/images/495/2/

beruhigend ist das ja wohl nicht gerade wa? :headbang:

Nicht mehr lange, und du gewinnst ne Runde Neuaufsetzen. Schau dir die threads hier an: Es gibt kaum ein log ohne AVP und trotzdem sind die TOs durch die Bank weg infiziert... Bisher hat dich Kaspersky wohl gerettet, aber warten wir das log von escan ab.

Die URL-Meldungen stammen (vermutlich) vom Webschutz. Darunter findet sich u.A. ein link zu zlob und adware. Wenn du die Dateien nicht runtergeladen und ausgeführt hast, sehe ich keine Infektion.

Die "potentiell gefährl. Software"-Meldungen kommen vom proaktiven Schutz. Schau in die Hilfe zu Kaspersky, sie erklärt den proaktiven Schutz und die Bedeutung der Meldungen. "Potentiell" heißt: Kann, muß aber nicht schadhaft sein. Nimm auch mal die Details im Bericht unter die Lupe.

Ob es sich bei den Schriften (10.000 fonts) um vertrauenswürdige Software handelt, mußt du selbst wissen. Bei der cablecom-Software (Treiber oder Ähnliches :confused:) gehe ich mal davon aus, ansonsten mach die Gegenprobe bei virustotal.com (bis öhm :confused: 10MB Dateigröße iirc)

Grüße

hmm...

ja ich seh's schon kommen...

mich irritiert jedoch, dass eScan nur eine einzige virusinfektion findet..

zudem ist das log gigantisch gross..
hab ich da was nicht kapiert, oder wie soll ich das posten?
es sprengt die zeichenanzahl pro post bei weitem...

http://files.trojaner-board.de/find.bat anklicken -> Datei speichern unter -> find.bat auf dem Desktop speichern -> find.bat anklicken -> escan_neu.txt posten, that's it

Zitat:

Zitat von ordell1234 (Beitrag 304955)

http://files.trojaner-board.de/find.bat anklicken -> Datei speichern unter -> find.bat auf dem Desktop speichern -> find.bat anklicken -> escan_neu.txt posten, that's it

thank you kindly sir! :)

ich hoffe das reicht, wenn ich es jetzt einfach im normalen modus mache...

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Header 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  

find.bat Version 2007.06.16.01 
 

Microsoft Windows XP [Version 5.1.2600]

Bootmodus: NORMAL 

    

eScan Version: 9.5.5 

Sprache: German 

Virus-Datenbank Datum: 11/14/2007  

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Infektionsmeldungen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 

 

~~~~~~~~~~~ 
 Dateien 

~~~~~~~~~~~ 

~~~~ Infected files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

~~~~ Tagged files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

~~~~ Offending files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 
 Ordner 

~~~~~~~~~~~ 

~~~~~~~~~~~ 
 Registry 

~~~~~~~~~~~ 

 Offending Key found: HKCR\magnet !!! 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Diverses 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

~~~~~~~~~~~~~~~~~~~~~~ 
 Prozesse und Module 

~~~~~~~~~~~~~~~~~~~~~~ 

 Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... 

~~~~~~~~~~~~~~~~~~~~~~ 
 Scanfehler 

~~~~~~~~~~~~~~~~~~~~~~ 

~~~~~~~~~~~~~~~~~~~~~~ 
 Hosts-Datei 

~~~~~~~~~~~~~~~~~~~~~~ 

DataBasePath: %SystemRoot%\System32\drivers\etc 

Zeilen die nicht dem Standard entsprechen: 

C:\WINDOWS\System32\drivers\etc\hosts :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Statistiken: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Gescannte Dateien: 31058 

 Gefundene Viren: 1 

 Anzahl der desinfizierten Dateien: 0 

 Umbenannte Dateien: 0 

 Anzahl der gelöschten Dateien: 0 

 Anzahl Fehler: 31 

 Dauer des Scans bisher: 00:04:58 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Scan-Optionen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Specherüberprüfung: Aktiviert 

 Registry Überprüfung: Aktiviert 

 System-Ordner Überprüfung: Aktiviert 

 Überprüfung der Systembereiche: Deaktiviert 

 Überprüfung der Dienste: Aktiviert 

 

Batchstart: 23:37:28,57 

Batchende: 23:37:38,21

Zitat:

Zitat von sunset603 (Beitrag 304957)

Code:

Dauer des Scans bisher: 00:04:58

Sorry Sir, aber da haben Sie wohl was bei den scanoptionen verhauen.

Setze bitte alle Häkchen wie in den screenshots der Anleitung. Der scan läuft Minimum ne halbe Stunde, kann aber auch bis zu 2 Std. dauern.

edit: Oder lief der scan schon mal so lange durch und du hast ihn anschließend ein zweites Mal gestartet?

huh..?? das kapier ich nicht..

der scan hat ca. 1 1/2 stunden gedauert...

liegt das daran, dass ich erst im nachhinein die find.bat ausgeführt habe?
nach anleitung sollte dies ja gleich nach dem scan im abgesicherten modus geschehen...

Ne, passt schon. Vermutlich hast du escan ein weiteres Mal kurz laufen lassen.

Also: Suche mwav.log (liegt in c:\bases_x\mwav.log, bzw in %temp%\mwav.log - kannst du so in den explorer eingeben) und lade die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hoch. Stell den link von file-upload hier rein, dann schau ichs mir gleich an.

ok, alles klar..

mwav

lass dir ruhig zeit, ich geh jetzt mal pennen.. schaue morgen wieder rein.

vielen dank für deine mühe!

Gruss

Zitat:

Optionen vom Benutzer ausgewählt:
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
StartUp-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Festplattenüberprüfung deaktiviert
Verzeichniss Überprüfung: Deaktiviert

:rolleyes: Wie gesagt, setz die richtigen Häkchen, sonst wirds nix.

Good fight, good night!

also ich könnte schwören, dass ich es richtig gemacht habe...
ich machs nochmal und lade mir die grafik aufs desktop.
dann muss es stimmen...

sodele:

mwav log, zum zweiten

ist meiner meinung nach genau das selbe...

habe extra noch einen screen shot vom escan fenster gemacht bevor ich den
scan gestartet habe:

http://img122.imageshack.us/img122/4...heckboxbp8.jpg

Yep, irgendwo hängts. Im log siehst du selbst, dass escan nicht die gesamte Festplatte gescannt hat. Wer weiß, wer sich bei mwav wieder austobt...

Schlage folgendes vor:

Melde dich als Admin an! -> dein log hat da rumgezickt :confused:

1. escan neu runterladen
2. aktualisieren (bei Problemen siehe hier: Updateprobleme von eScan beheben)
3. altes Protokoll löschen
4. escan beenden
5. Eingabeaufforderung starten (Start-Ausführen-cmd)
6.

Code:

reg add HKCR\eut /v option /t Reg_DWORD /d 63

eingeben -> Nachfrage (Y)es
7. Start-Ausführen -> %temp%\mwavscan.com eintippen, Enter -> escan öffnet sich
8. Hakerl bei Festplatte - Alle lokalen Festplatten setzen
9. scannen - zum Test kannst du nach ner Minute abbrechen und die find.bat laufen lassen -> bei scanoptionen sollte es so aussehen (v.a. bei der Festplatte), wenn nicht, nochmal melden und escan verfluchen

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

10. find.bat laufen lassen + escan_neu.txt log posten

Mal kucken, Grüße

PS: Du kannst natürlich auch einen Onlinescan mit Kaspersky machen, wenn dir das mit escan auf den Keks geht.