Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Maleware nicht zu killen! Help.. (https://www.trojaner-board.de/29989-maleware-killen-help.html)

undoreal 15.06.2006 22:30
Maleware nicht zu killen! Help..
 
Halli hallo an alle freundlichen Betrachter.

Hab' mir heute einen mp3 to wav Editor als Freeware von einer eigentlich :pukeface: seriösen Seite geladen, trotzdem glaube ich das Paket ist mit dieser exe gekommen.
Denn nach der Installation bekam ich von meiner Sp Firewall zwei Blockmeldungen und zwar:

1. EbatesMoeMoneyMaker
2. Microsoft Java Befehlszeilen Interpreter

auf weiterhin blocken natürlich und einen System check mit the Cleaner da der Tc-Monitor eine Änderung der Registry, und Maleware registriert hat.

The Cleaner jedenfalls hat eine Menge gefunden darunter EMMM (s.o.) und zusätzlich NavExel.
Löschen konnte er nur EMMM obwohl ich auch dem nicht ganz traue da bei den Ausnahmen der Firewall immernoch diese Programm aufgeführt wird.. ?

Dann mit Ad-Aware einen Scan gemacht wieder 'ne Menge Resultate auch alle gekillt. Dann CWS -> nichts.
Dann Kaspersky -> nichts !!!! :kloppen: Warum?

Fasse ich zusammen:

1.EMMM angeblich gelöscht aber noch unter Ausnahmen der Firewall
aufgeführt
2. NavExel von The Cleaner gefunden aber nicht gelöscht, von Kav nicht gefunden (was mich wahnsinnig macht)
3. Java Befehlszeilen-Interpreter (ich weiss: nicht gefährlich; dem trau ich aber garnicht da meine Firewall den das erste Mal blockt und das "zufällig" zusammen mit dem anderen Scheiß.. Da stimmt was nicht)

Zum Schluss wie immer mein Log welches für mich sauber aussieht.

Logfile of HijackThis v1.99.1
Scan saved at 23:01:55, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\Daten\Eigene Dateien\Programme\Anti\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] G:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Babylon Client] D:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [AWMON] "D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe (file missing)


Vielen Dank für die Mühen und bitte helft mir.

undoreal

+Flori+ 16.06.2006 12:28
Hi,

Scanne deinen PC mit diesen Online Scannern:
1. Panda Online-Scan . http://www.pandasoftware.com/activescan/de/activescan_principal.htm
Findet und entfernt viele Schadprogramme, nur Spyware und Adware werden nicht bereinigt.
2. BitDefender Online- Scan.
http://www.bitdefender.de/bd/site/page.php#

Wenn die Scanner was finden, dann Poste bitte die Scan-Protokolle

Darthshoot 16.06.2006 12:37
Du hast Babylon? In meiner Babylon war ein Adware drin, der sich erst nach ein paar Wochen gezeigt hat. Ich glaube eher, dass es daher kommt. Obwohl die fakten eigendlich eher dagegen sprechen. Wenn es wirklich ein Maleware ist, dann solltest du in Abgesicherten Modus reingehen und ihn dort löschen.
Du kannst auch dieses Tool benutzen xD http://navig8.to/amok Es kann auch sein, dass sich einige Virenscanner selber blockieren und deshalb findet dein Kasper nix.

EDIT:

Du kannst ihm zur Not auch noch alle Rechte sperren. Du gibst das in eine .bat Datei ein:

cacls dateidiezulöschenist /D %USERNAME%

undoreal 18.06.2006 14:14
Vielen Dank ihr Beiden.

Babylon und Maleware... man man, kann aber echt gut sein. Hab's jedenfalls gelöscht.
NavExcel Ordner mit Killbox beim Reboot überschrieben. Registry auch gereinigt.
Lavasoft findet auch nichst mehr.

Nur kann mir jemand beantworten ob ich mir wegen der Einträge bei den Ausnahmen der Firewall Sorgen machen muss??

Und hat jemand mehr Ahnung von HJT als ich? Für mich sieht der Log nähmlich O.K. aus aber 'ne Bestätigung wäre toll.

Gruß

Undoreal

BataAlexander 18.06.2006 15:18
Hallo,

die von Dir gelande .exe Datei online bei virustotal.com scannen lassen, post das Ergebnis dann hier.
Dannach lade Dir Cleanup, wie beschrieben, dannach poste die vier Logs der datfind.bat, aber nur die Dateien der letzten drei Monate kopieren.

Gruß

Schrulli


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:15 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129