|
Trojanerwarnungen von Antivir Hallo trojaner-board-user heute bekam ich plötzlich virenwarnungen und antivir fand schließlich 19Trojaner. hab diese dann mit Antivir in Quarantäne gestellt. hier der antivir report: Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0NVGQ5\wcvsg[1].htm [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0NVGQ5\win_protection_update[1].exe [0] Archivtyp: NSIS [FUND] Ist das Trojanische Pferd TR/Dropper.Gen --> ProgramFilesDir/ccmain.exe [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GAGVTPON\wcvsg[1].htm [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NAM9VSUT\yrbbppqzna[1].htm [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.czhw C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TKTLI6J8\win_protection_update[1].exe [0] Archivtyp: NSIS [FUND] Ist das Trojanische Pferd TR/Dropper.Gen --> ProgramFilesDir/ccmain.exe [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TKTLI6J8\yrbbppqzna[1].htm [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.czhw C:\Users\Amilo\AppData\Local\Temp\3481.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen C:\Users\Amilo\AppData\Local\Temp\5F8E.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen C:\Users\Amilo\AppData\Local\Temp\ceamownsrx.exe [FUND] Ist das Trojanische Pferd TR/Spy.126976.34 C:\Users\Amilo\AppData\Local\Temp\rmxaowsnce.exe [FUND] Ist das Trojanische Pferd TR/Vilsel.ojq C:\Users\Amilo\AppData\Local\Temp\srcxeanmwo.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen C:\Users\Amilo\AppData\Local\Temp\xesrocnawm.exe [FUND] Ist das Trojanische Pferd TR/Click.VBiframe.apy C:\Users\Amilo\AppData\Local\VirtualStore\Windows\System32\net.net [FUND] Ist das Trojanische Pferd TR/Click.VBiframe.apy C:\Users\Amilo\AppData\Roaming\Ctrl-Center\uninstall.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen Beginne mit der Desinfektion: C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0NVGQ5\wcvsg[1].htm [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcc0ab2.qua' verschoben! C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0NVGQ5\win_protection_update[1].exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc40ab8.qua' verschoben! C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GAGVTPON\wcvsg[1].htm [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcc0ab3.qua' verschoben! C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NAM9VSUT\yrbbppqzna[1].htm [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.czhw [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bb80ac2.qua' verschoben! C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TKTLI6J8\win_protection_update[1].exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc40ab9.qua' verschoben! C:\Users\Amilo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TKTLI6J8\yrbbppqzna[1].htm [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.czhw [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bb80ac3.qua' verschoben! C:\Users\Amilo\AppData\Local\Temp\3481.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8e0a85.qua' verschoben! C:\Users\Amilo\AppData\Local\Temp\5F8E.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8e0a97.qua' verschoben! C:\Users\Amilo\AppData\Local\Temp\ceamownsrx.exe [FUND] Ist das Trojanische Pferd TR/Spy.126976.34 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bb70ab6.qua' verschoben! C:\Users\Amilo\AppData\Local\Temp\rmxaowsnce.exe [FUND] Ist das Trojanische Pferd TR/Vilsel.ojq [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bce0abe.qua' verschoben! C:\Users\Amilo\AppData\Local\Temp\srcxeanmwo.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bb90ac4.qua' verschoben! C:\Users\Amilo\AppData\Local\Temp\xesrocnawm.exe [FUND] Ist das Trojanische Pferd TR/Click.VBiframe.apy [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc90ab7.qua' verschoben! C:\Users\Amilo\AppData\Local\VirtualStore\Windows\System32\net.net [FUND] Ist das Trojanische Pferd TR/Click.VBiframe.apy [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bca0ab7.qua' verschoben! C:\Users\Amilo\AppData\Roaming\Ctrl-Center\uninstall.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbf0ac0.qua' verschoben! hab mich dann übers internet informiert und mir hjt runtergeladen. auch dazu hier der log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:14:05, on 20.01.2010 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18349) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\System32\rundll32.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe C:\Program Files\Logitech\QuickCam\Quickcam.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Users\Amilo\AppData\Roaming\Ctrl-Center\ccagent.exe C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\TrojanHunter 5.2\TrojanHunter.exe C:\Program Files\TrojanHunter 5.2\THGuard.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 5.2\THGuard.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ccagent.exe] C:\Users\Amilo\AppData\Roaming\Ctrl-Center\ccagent.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Program Files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{A538E41A-53EA-4B4B-86AB-5504EE1DE226}: NameServer = 213.191.92.86 62.109.123.6 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- End of file - 7087 bytes allerdings versteh ich nicht, wie ich jetzt weiterarbeiten muss. hab eine seite gefunden, welche mir den hjt log auswertet und die sagte mir O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) und O4 - HKCU\..\Run: [ccagent.exe] C:\Users\Amilo\AppData\Roaming\Ctrl-Center\ccagent.exe könnten trojaner sein. aber was mache ich nun damit? |
Hallo und :hallo: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
CCleaner laufen gelassen, alles ausgeführt wie in der Anleitung. Malware Bericht: Code: Malwarebytes' Anti-Malware 1.44Code: Logfile of random's system information tool 1.06 (written by random/random)Code: info.txt logfile of random's system information tool 1.06 2010-01-20 15:56:05 |
Sry, hab Dein Strang übersehen :( Mach bitte frische RSIT Logfiles und poste sie, die jtzigen sind schon wieder fast 2 Wochen alt. Kamen zwischendruch wieder Warnungen von AntiVir? |
Hallo cosinus, kein Problem Es kamen keine Warnungen mehr und es scheint mir mehr oder weniger als wäre das Problem behoben. Allerdings hab ich von der ganzen Materie ehrlich gesagt nicht viel Ahnung und von daher Angst, dass sich doch noch irgendwo was bösartiges verstecken könnte. Hab RSIT nochmal durchlaufen lassen, jedoch hab ich nur die Logdatei bekommen, die Info datei bekam ich auch bei weiteren Versuchen nicht. Hier also die Log datei Code: Logfile of random's system information tool 1.06 (written by random/random) |
Die Logs sehen eigentlich okay aus, aber so gnaz trau ich dem Braten noch nicht :D Bitte mal CF anwenden: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
So, combofix ist durchgelaufen. musste den laptop danach allerdings neustarten, weil ich nichts mehr öffnen konnte... Code: ComboFix 10-02-01.01 - Amilo 01.02.2010 20:42:34.1.2 - x86 |
Ok :) Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. |
So, hab Malwarebytes aktualisiert und dann den Vollscan gemacht. Gab keinen Fund Hier das Logfile Code: Malwarebytes' Anti-Malware 1.44 |
Schön :), wenn denn keine Probleme/Auffälligkeiten/Meldungen sind, werd ich Dich entlassen ;) |
ok super. Vielen riesen Dank für deine Mühen :) bin froh, dass alles weg ist :D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board