|
Bitte um Hilfe bei "wahrscheinlichem" Trojanerbefall Hallo zusammen, bin noch neu und bitte um Hilfe bei einem evtl. Trojanerbefall. Hoffe, das ich alles richtig poste. Vielen Dank schon mal im Voraus für jede Hilfe und Hinweis. Folgende Konstellation: CPU AMD - 1GB RAM WIN XP Pro inkl. Servicepacks 2 HDD C: D: Kaspersky AV 6.0; Spybot; Adaware2007; Aufgefallen ist mir, das immer wieder Meldungen von meinem Kaspersky kommen. Ich kann dann zwar die angekündigte Aktion stoppen, aber auf die Dauer nerven diese Sachen doch sehr. Nach einem Komplettscan hat KAV 6.0 insgesamt 21 Probleme gefunden, die allesamt beseitigt wurden. Dabei sind auch viele gleiche Dinge. Über HJT habe ich noch ein Teil gesehen, das vermutlich der Übeltäter ist. Nachdem KAV die Bereinigung durchgeführt hat, kommen noch 2 Meldungen beim Booten des WinXP 1. fehler beim laden von c:\windows\downlo~1\ub9j.dll 2. fehler beim laden von c:\windows\downlo~1\sas67q.dll Wahrscheinlich hat KAV diese Dateien gelöscht und irgendwo ist noch der Aufruf dieser DLLs Ich poste mal mein Logfile vom HJT und das von KAV Anmerken möchte ich noch, das derzeit der KAV alle 15 sek einen Zugriff vom Explorer blockiert. Das sieht dann so aus: 24.02.2008 11:15:27 Prozess C:\WINDOWS\Explorer.EXE (PID: 1784): Versuch zum Ausführen verdächtiger Aktionen wurde blockiert. 24.02.2008 11:15:38 Prozess C:\WINDOWS\Explorer.EXE (PID: 1784): Versuch zum Ausführen verdächtiger Aktionen wurde blockiert. Jedenfalls würde ich mich freuen, wenn mir jemand Tipps geben könnte, wie ich mein System wieder von diesem Müll :snyper: befreien kann. Schöne Grüsse ojemine ============================== Logfile of HijackThis v1.99.1 Scan saved at 11:29:59, on 24.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe D:\01_08\##VIREN_TROJANER_KAMP\hijackthis_199\HJT.exe O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Invoke Class - {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} - C:\WINDOWS\system32\2f51.dll (file missing) O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 \Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 \Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 \Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 \Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 \Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{BC41EB83-3D19-4815-9144-940F06984B6A}: NameServer = 194.xx.x.xxx,192.xx.x.xxx O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) ============================== KASPERSKY AV 6.0 ============================== Schutz ------ Insgesamt untersucht: 8041 Gefunden: 21 Nicht bearbeitet: 0 Start: 24.02.2008 11:27:20 Dauer: 00:19:35 Gefunden -------- Status Objekt ------ ------ gefunden: trojanisches Programm Trojan-Downloader.Win32.Agent.iag URL: http://www.msthott.com/3462c95fa2fb8a788aa199b41bbc30b9 gelöscht: potentiell gefährliche Software not-a-virus:RiskTool.Win32.Reboot.f Datei: D:\01_08\##VIREN_TROJANER_KAMP\SmitfraudFix\Reboot.exe gefunden: trojanisches Programm Trojan-Downloader.Win32.Agent.ifg URL: http://www.msthott.com/78c5142f45c9c439e9d839fe69e2db76/PE_Patch/UPack gelöscht: trojanisches Programm Trojan-Downloader.Win32.Agent.ifg Datei: C:\WINDOWS\TEMP\nl6fdf3215.tmp/PE_Patch/UPack gelöscht: Adware not-a-virus:AdWare.Win32.BHO.abi Datei: C:\WINDOWS\system32\2f51.dll gelöscht: Adware not-a-virus:AdWare.Win32.BHO.we Datei: C:\System Volume Information\_restore{C6C06993-589C-4832-B65A-708DA61E7EA3}\RP465\A0210928.dll gelöscht: Adware not-a-virus:AdWare.Win32.BHO.wj Datei: C:\System Volume Information\_restore{C6C06993-589C-4832-B65A-708DA61E7EA3}\RP465\A0210929.dll gelöscht: Adware not-a-virus:AdWare.Win32.BHO.we Datei: C:\System Volume Information\_restore{C6C06993-589C-4832-B65A-708DA61E7EA3}\RP465\A0210930.exe nicht gefunden: trojanisches Programm Trojan-Downloader.Win32.Agent.hvh Datei: C:\WINDOWS\TEMP\nl63bb5aaa.exe gelöscht: trojanisches Programm Trojan-Downloader.Win32.Agent.idr Datei: C:\System Volume Information\_restore{C6C06993-589C-4832-B65A-708DA61E7EA3}\RP451\A0203914.exe gelöscht: Adware not-a-virus:AdWare.Win32.BHO.ne Datei: C:\System Volume Information\_restore{C6C06993-589C-4832-B65A-708DA61E7EA3}\RP467\A0211940.dll gelöscht: Adware not-a-virus:AdWare.Win32.BHO.we Datei: D:\System Volume Information\_restore{C6C06993-589C-4832-B65A-708DA61E7EA3}\RP467\A0211949.dll gelöscht: Adware not-a-virus:AdWare.Win32.BHO.we Datei: D:\System Volume Information\_restore{C6C06993-589C-4832-B65A-708DA61E7EA3}\RP467\A0211950.dll gelöscht: Adware not-a-virus:AdWare.Win32.BHO.we Datei: D:\System Volume Information\_restore{C6C06993-589C-4832-B65A-708DA61E7EA3}\RP467\A0211951.dll gelöscht: trojanisches Programm Trojan-Downloader.Win32.Agent.ifg Datei: C:\WINDOWS\TEMP\nl29fcfe8.tmp/PE_Patch/UPack gelöscht: trojanisches Programm Trojan-Downloader.Win32.Agent.jgs Datei: C:\WINDOWS\system32\f5ce1.exe gelöscht: trojanisches Programm Trojan-Downloader.Win32.Agent.jit Datei: C:\WINDOWS\Downlo~1\sas67q.dll gelöscht: trojanisches Programm Trojan-Downloader.Win32.Agent.jix Datei: C:\WINDOWS\Downlo~1\ub9j.dll gelöscht: Adware not-a-virus:AdWare.Win32.Agent.afj Datei: C:\WINDOWS\Downlo~1\z64.dll/PE_Patch.PECompact/PecBundle/PECompact gefunden: trojanisches Programm Trojan-Dropper.Win32.Agent.eqy URL: http://219.148.34.9/dmdown/sss.exe/PE_Patch.PECompact/PecBundle/PECompact nicht gefunden: trojanisches Programm Trojan-Downloader.Win32.Agent.hvh Datei: C:\WINDOWS\TEMP\nlaab4d96.exe ================================= |
hi All Specialist hat sich erledigt. Danke "Man muss nur lang genug warten" dann erledigt sich das Meiste von selbst. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board