Trojaner-Board - Nail.exe, Skybi, Trojan Win32.Agent etc.

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Nail.exe, Skybi, Trojan Win32.Agent etc. (https://www.trojaner-board.de/21420-nail-exe-skybi-trojan-win32-agent-etc.html)

Nail.exe, Skybi, Trojan Win32.Agent etc.

hey, hab irgendwie seit längerem ein paar problemchen, die ich nun mal endlich angehen will....! hab einen scan mit dem Bitdefender gemacht, der Nail.exe und Skybi gefunden hat, aber nicht entfernen konnte, ausserdem nervt das T-Secure, das mir immer irgendeinen mist vom Trojan-Dropper.Win32.Agent oä. erzählt.

muss dazu sagen, ich hab keinen plan von dem ganzen hier, und der rechner wird auch von anderen benutzt, vermute also, es ist viel scheiss drauf!!!

hier hab ich wenigstens schonmal das Hijackthis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:52:00, on 01.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\T-TELE~1\backweb\2581593\Program\SERVIC~1.EXE
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsgk32st.exe
C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\program\fsbwsys.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\FSGK32.EXE
C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\Program\fspex.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fssm32.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FSMA32.EXE
C:\Programme\T-TeleSec Personal Security Service\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FCH32.EXE
C:\Programme\T-TeleSec Personal Security Service\Common\FAMEH32.EXE
C:\Programme\T-TeleSec Personal Security Service\FWES\Program\fsdfwd.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsav32.exe
C:\Programme\T-TeleSec Personal Security Service\FSGUI\fsguiexe.exe
C:\PROGRA~1\softwin\BITDEF~1\bdlite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\T-TeleSec Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nivdlf] c:\windows\system32\wwztcj.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender free edition\bdnagent.exe
O4 - HKLM\..\Run: [flryyt] c:\windows\system32\sanjgqh.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1103119781910
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**ps://fpdownload.macromedia...sh/swflash.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: T-TeleSec Personal Security Service (BackWeb Plug-in - 2581593) - Unknown owner - C:\PROGRA~1\T-TELE~1\backweb\2581593\Program\SERVIC~1.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\T-TeleSec Personal Security Service\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\T-TeleSec Personal Security Service\Common\FSMA32.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Kann das also bitte mal jemand überprüfen bzw. einem Anfänger einfach erklären, wie ich den mist wieder weg bekomme!? Vielen Dank

lass diese dateien bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis:
c:\windows\system32\wwztcj.exe
c:\windows\system32\sanjgqh.exe

wenn backdoor - an dieser stelle stoppen, wenn nein wie folgt weitermachen:

fixe diese einträge:
O4 - HKLM\..\Run: [nivdlf] c:\windows\system32\wwztcj.exe
O4 - HKLM\..\Run: [flryyt] c:\windows\system32\sanjgqh.exe r
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

führe mal den Nail.exe Remover aus

lösche im abgesicherten modus diese dateien:
c:\windows\system32\wwztcj.exe
c:\windows\system32\sanjgqh.exe

führe gleich mal eScan aus

neues HJT-Logfile posten

Zitat:

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Das solltest du nicht fixen, da die Prozesse laufen.

Dennoch solltest du dich für eine AV-Anwendung entscheiden: F-secure oder Bitdefender

bei diesem jotti erschien jeweils folgendes:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.

Will nix falsch machen, vermute also, es geht nun weiter wie beschrieben mit dem fixen!?!?

ah die processes laufen davon ja - wusst ich ja garnet, dass der die als ungültig schreibt..

wenn ihr euch dann einig seid, folge ich gerne euren ratschlägen :bussi:

Die beiden Zufallsschlüssel gehören imho zu der Nail.exe
Du solltest den Remover nach Anleitung ausführen und dann ein neues Logfile posten.
Das heißt im Klartext: Führe bis Schritt 6. alles aus wie beschrieben, nur musst du dann eben beide Zufallsschlüssel fixen und die Dateien löschen.

Zitat:

O4 - HKLM\..\Run: [nivdlf] c:\windows\system32\wwztcj.exe
O4 - HKLM\..\Run: [flryyt] c:\windows\system32\sanjgqh.exe r

Die Bitdefender-Einträge, wie gesagt, bitte nicht fixen.

okay, und noch ne ganz dumme frage, wie komme ich in den abgesicherten Modus!?!?

Zitat:

Zitat von benni24

okay, und noch ne ganz dumme frage, wie komme ich in den abgesicherten Modus!?!?

Schau dir den Link in meiner Signatur mal etwas genauer an. ;)

so, zwar hats ein wenig länger gedauert, aber anscheinend wars erfolgreich, oder???
Zumindest der Bitdefender hat noch nix gefunden....

Logfile of HijackThis v1.99.1
Scan saved at 00:20:17, on 02.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsgk32st.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\FSGK32.EXE
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fssm32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
c:\progra~1\softwin\bitdef~1\bdlite.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FSMA32.EXE
C:\Programme\T-TeleSec Personal Security Service\Common\FSMB32.EXE
C:\Programme\T-TeleSec Personal Security Service\Common\FCH32.EXE
C:\Programme\T-TeleSec Personal Security Service\Common\FAMEH32.EXE
C:\Programme\T-TeleSec Personal Security Service\FWES\Program\fsdfwd.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsav32.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE
C:\Programme\T-TeleSec Personal Security Service\FSGUI\fsguiexe.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\T-TeleSec Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender free edition\bdnagent.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1103119781910
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**ps://fpdownload.macromedia...sh/swflash.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\T-TeleSec Personal Security Service\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\T-TeleSec Personal Security Service\Common\FSMA32.EXE
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

wollte diesmal auf nummer sicher gehen, und hab noch einen escan mit mwav durchgeführt, wie bei euch beschrieben! Hab mich strikt an die schritte gehalten, die mwav.log wurde erstellt, siehe da, 42 Viren gefunden! hab die find.bat ausgeführt, oben das ergebnis....

ah, okay, nach mehrmaligem lesen hab ich nun auch das mit der find.bat gecheckt, hier das ergebnis:

Wäre nett, wenn mir jemand sagen könnte, wies nun weitergeht, hab nämlich keinen plan, was ich nun dagegen tun kann.... danke

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Sep 02 16:51:05 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Fri Sep 02 16:51:29 2005 => System found infected with WhenU.SaveNow Spyware/Adware (setup_wm.exe)! Action taken: No Action Taken.
Fri Sep 02 16:52:12 2005 => File C:\WINDOWS\SVCPROC.0XE infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:52:16 2005 => File C:\WINDOWS\system32\8FLYS68SHNF.0LL infected by "Trojan-Downloader.Win32.Small.amg" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:52:40 2005 => File C:\WINDOWS\system32\DRPMON.0LL infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:54:05 2005 => File C:\WINDOWS\system32\SANJGQH.0XE infected by "Trojan.Win32.Agent.ay" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:54:45 2005 => File C:\WINDOWS\system32\WWZTCJ.0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:54:48 2005 => File C:\WINDOWS\system32\ZXBNZLH.0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:56:10 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\yourbrain.0xe infected by "Trojan-Dropper.Win32.Agent.hh" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:58:18 2005 => File C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\49KNWNOZ\Poller[1].0xe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:01:10 2005 => File C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\AJ27AHMR\SVCPROC[2].0XE infected by "Trojan.Win32.Stervis.b" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:06:31 2005 => File C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\OXOZWFKN\POLLER[1].0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:07:40 2005 => File C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\RD9FYEEX\SVCPROC[2].0XE infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:08:24 2005 => File C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\TG8ZXL0L\DRPMON[2].0LL infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:17:24 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\yourbrain.0xe infected by "Trojan-Dropper.Win32.Agent.hh" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:19:11 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\49KNWNOZ\Poller[1].0xe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:21:42 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AJ27AHMR\SVCPROC[2].0XE infected by "Trojan.Win32.Stervis.b" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:26:23 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OXOZWFKN\POLLER[1].0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:27:23 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RD9FYEEX\SVCPROC[2].0XE infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:28:02 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TG8ZXL0L\DRPMON[2].0LL infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:52:24 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender Free Edition\Infected\*.*
Fri Sep 02 18:13:19 2005 => File C:\WINDOWS\SVCPROC.0XE infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:13:20 2005 => File C:\WINDOWS\system32\8FLYS68SHNF.0LL infected by "Trojan-Downloader.Win32.Small.amg" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:15:50 2005 => File C:\WINDOWS\system32\DRPMON.0LL infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:17:36 2005 => File C:\WINDOWS\system32\SANJGQH.0XE infected by "Trojan.Win32.Agent.ay" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:18:39 2005 => File C:\WINDOWS\system32\WWZTCJ.0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:18:42 2005 => File C:\WINDOWS\system32\ZXBNZLH.0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:18:54 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Sep 02 16:52:16 2005 => File C:\WINDOWS\system32\70tovmto.ini tagged as "not-a-virus:AdWare.Sahat.ao". Action Taken: No Action Taken.
Fri Sep 02 16:56:00 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\II10F.tmp tagged as "not-a-virus:AdWare.Sahat.m". Action Taken: No Action Taken.
Fri Sep 02 16:56:04 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\ISF\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Fri Sep 02 16:56:05 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\koolbar_setup2.exe tagged as "not-a-virus:AdWare.ToolBar.Shopper.f". Action Taken: No Action Taken.
Fri Sep 02 16:56:08 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\SahUpdate\umqltg4cl_.ini tagged as "not-a-virus:AdWare.Sahat.ao". Action Taken: No Action Taken.
Fri Sep 02 16:56:09 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\trgen-277797-default.exe tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.d". Action Taken: No Action Taken.
Fri Sep 02 16:56:10 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\XDJ\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Fri Sep 02 17:17:16 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\II10F.tmp tagged as "not-a-virus:AdWare.Sahat.m". Action Taken: No Action Taken.
Fri Sep 02 17:17:19 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\ISF\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Fri Sep 02 17:17:19 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\koolbar_setup2.exe tagged as "not-a-virus:AdWare.ToolBar.Shopper.f". Action Taken: No Action Taken.
Fri Sep 02 17:17:22 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\SahUpdate\umqltg4cl_.ini tagged as "not-a-virus:AdWare.Sahat.ao". Action Taken: No Action Taken.
Fri Sep 02 17:17:23 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\trgen-277797-default.exe tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.d". Action Taken: No Action Taken.
Fri Sep 02 17:17:24 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\XDJ\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Fri Sep 02 17:48:27 2005 => File C:\Programme\KoolBar\koolbar.dll tagged as "not-a-virus:AdWare.ToolBar.Shopper.f". Action Taken: No Action Taken.
Fri Sep 02 18:13:20 2005 => File C:\WINDOWS\system32\70tovmto.ini tagged as "not-a-virus:AdWare.Sahat.ao". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Sep 02 16:48:07 2005 => Offending Folder found: C:\DOKUME~1\Admin\ANWEND~1\everad
Fri Sep 02 16:51:05 2005 => Offending file found: C:\DOKUME~1\Admin\LOKALE~1\Temp\insthelp.dll
Fri Sep 02 16:51:29 2005 => Offending file found: C:\DOKUME~1\Admin\LOKALE~1\Temp\setup_wm.exe
Fri Sep 02 18:18:54 2005 => Total Virus(es) Found: 42
Fri Sep 02 18:18:54 2005 => Total Errors: 202
Fri Sep 02 18:18:54 2005 => Time Elapsed: 01:31:50
Fri Sep 02 18:18:54 2005 => Total Objects Scanned: 95956
Fri Sep 02 16:45:59 2005 => Virus Database Date: 2005/09/01
Fri Sep 02 18:18:54 2005 => Virus Database Date: 2005/09/01
Sat Sep 03 00:30:39 2005 => Virus Database Date: 2005/09/01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~