Trojaner-Board - Win32/Haxdoor -> Was soll ich tun?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Win32/Haxdoor -> Was soll ich tun? (https://www.trojaner-board.de/42235-win32-haxdoor-tun.html)

Win32/Haxdoor -> Was soll ich tun?

Hallo erstmal..

bin neu hier, also haut mich bitte ned wenn ich irgendetwas falsch mache oder so.. ;)

ich hab grade eben aus "langeweile" das Windows Tool zum entfernen bösartiger Software durchlaufen lassen.. es wurde mir zwar angezeigt, dass keine bösartige Software gefunden wurde, doch im Bericht hab ich die Datei Win32/Haxdoor gefunden. der name hat mich n bissl stutzig gemacht & deshalb hab ich danach gegooglt und herausgefunden, dass das ein Trojaner is.. jetzt würd ich gerne wissen wie ich diesen entfernen kann bzw. was er alles macht & so.. im moment funktioniert mein PC noch einwandfrei, ich hab keine veränderungen bemerkt..

danke schonmal für eure antworten :)

Kitty.Kat

Hallo kitty.kat,

verrate usn doch bitte mal was mehr über dein System

- hast du ein Antiviren-Programm am laufen, wenn ja welches
- in welcher Datei wurde den der event. Virus gefunden
- stelle doch bitte mal ein hijackthis-Protokoll hier ein, beachte aber die Anleitung dazu

Hallo,

danke erstmal für deine schnelle Antwort. :)

- hast du ein Antiviren-Programm am laufen, wenn ja welches
ich benutze "avast! 4.7 home edition"
- in welcher Datei wurde den der event. Virus gefunden
das weiß ich leider nicht :headbang: da ich über "windows tool zum entfernen bösartiger software" davon erfahren und mich dann über google informiert habe
- stelle doch bitte mal ein hijackthis-Protokoll hier ein
poste ich mitrein, hoffentlich habe ich alles richtig gemacht in der anwendung (habe die anleitung beachtet)

LG Kitty.Kat

EDiT: falls es dir weiterhilft, ich benutze firefox, version 2.0.0.6

-------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:43:06, on 16.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\drivers\STDSB.exe
C:\WINDOWS\system32\drivers\Icon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Lexmark 4300 Series\ezprint.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slmdmsr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\system32\drivers\STDSB.exe
O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Programme\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slmdmsr.exe

Checke diese beiden Dateien bei VirusTotal - Free Online Virus and Malware Scan

C:\WINDOWS\system32\drivers\STDSB.exe
C:\WINDOWS\system32\drivers\Icon.exe

und poste das Ergebnis hier.

Bata

hallo,

danke erstmal für deine antwort :) (ich finds nett das einem hier so schnell geholfen wird +schleim schleim+ :D )

hier die ergebnisse, hoffe ich habs richtig gemacht (sorry, mache sowas zum ersten mal):

C:\WINDOWS\system32\drivers\STDSB.exe

AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 -
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 -
BitDefender 7.2 2007.08.16 -
CAT-QuickHeal 9.00 2007.08.16 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.16 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 -
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 -
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.16 -
Webwasher-Gateway 6.0.1 2007.08.16 -

File size: 28672 bytes
MD5: 6b85d1e809a56cc2a8fd0243d5245a27
SHA1: 429946539547bd96d342d828b8a85598861ce52a

Ergebnis: 0/32 (0%)

-----------------------------------

C:\WINDOWS\system32\drivers\Icon.exe

AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 -
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 -
BitDefender 7.2 2007.08.16 -
CAT-QuickHeal 9.00 2007.08.16 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.16 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 -
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 -
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.16 -
Webwasher-Gateway 6.0.1 2007.08.16 -

File size: 221184 bytes
MD5: 851ff453f9f892ff532770ddccd2b422
SHA1: 72a4c7cdb89a265238c0b71f96deaa5f4e002a7b

Ergebnis: 0/32 (0%)

---------
wenn ich mal fragen darf: ist mein system sonst ok?

Lade Dir combofix.

Zitat:

** schliesse alle Programme und Anwendungen
** Lade combofix
** doppelklick: combofix.exe

** schreibe "Y"
** warte die Datenträgerbereinigung ab

mit der rechten Maustaste den Text markieren -> kopieren -> -> einfügen

Bata

ComboFix 07-08-14.4 - "***" 2007-08-16 21:29:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.197 [GMT 2:00]

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\drivers\Icon.exe

((((((((((((((((((((((((( Files Created from 2007-07-16 to 2007-08-16 )))))))))))))))))))))))))))))))

2007-08-16 21:28 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-14 22:33 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\WinRAR
2007-08-11 19:48 <DIR> d-------- C:\Programme\ICQLite
2007-08-11 19:48 <DIR> d-------- C:\Program Files
2007-08-11 19:48 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\ICQLite
2007-08-09 15:25 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-08-09 15:25 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Leadertech
2007-08-09 15:05 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-08-09 14:48 <DIR> d-------- C:\Programme\MSXML 4.0
2007-08-09 00:54 <DIR> d-------- C:\Programme\Cell Phone Manager
2007-08-08 22:42 679,936 --a------ C:\WINDOWS\system32\fun_mp4_enc.dll
2007-08-08 22:42 61,440 --a------ C:\WINDOWS\system32\mp4_vcodec.dll
2007-08-08 22:42 2,067,140 -ra------ C:\WINDOWS\system32\avcodec.dll
2007-08-08 22:42 <DIR> d-------- C:\WINDOWS\system32\Samsung PC Studio Codecs
2007-08-08 22:41 94,000 --a------ C:\WINDOWS\system32\drivers\ssm_mdm.sys
2007-08-08 22:41 8,336 --a------ C:\WINDOWS\system32\drivers\ssm_mdfl.sys
2007-08-08 22:41 6,176 --a------ C:\WINDOWS\system32\drivers\ssm_cmnt.sys
2007-08-08 22:41 6,176 --a------ C:\WINDOWS\system32\drivers\ssm_cm.sys
2007-08-08 22:41 58,320 --a------ C:\WINDOWS\system32\drivers\ssm_bus.sys
2007-08-08 22:41 5,840 --a------ C:\WINDOWS\system32\drivers\ssm_whnt.sys
2007-08-08 22:41 5,840 --a------ C:\WINDOWS\system32\drivers\ssm_wh.sys
2007-08-08 22:41 <DIR> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2007-08-05 17:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
2007-08-04 19:44 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-08-04 19:41 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-08-04 19:41 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-07-31 23:47 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-07-31 23:47 46,352 --a------ C:\WINDOWS\setdebug.exe
2007-07-31 23:47 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2007-07-31 23:47 113 --a------ C:\WINDOWS\system32\zonedon.reg
2007-07-31 23:47 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2007-07-30 17:52 <DIR> d-------- C:\Programme\QuickTime
2007-07-30 17:52 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
2007-07-29 13:54 <DIR> d---s---- C:\DOKUME~1\***\UserData
2007-07-24 13:11 <DIR> d-------- C:\Programme\Bluefish Games
2007-07-22 22:26 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2007-07-22 22:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVIDEOSOFT
2007-07-22 22:26 <DIR> d-------- C:\Programme\DVDVIDEOSOFT
2007-07-22 12:55 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Jasc
2007-07-16 17:00 <DIR> d-------- C:\WINDOWS\ShellNew
2007-07-16 16:59 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Microsoft Web Folders

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-16 19:34 --------- d-------- C:\Programme\Lx_cats
2007-08-12 12:02 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-11 17:51 --------- d-------- C:\Programme\SAMSUNG
2007-08-09 00:10 --------- d-------- C:\DOKUME~1\***\ANWEND~1\Mobile Master
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-07-25 17:02 --------- d-------- C:\Programme\Creative
2007-07-22 19:11 --------- d-------- C:\Programme\Movie Maker
2007-07-22 19:11 --------- d-------- C:\Programme\Mobile Master
2007-07-22 19:11 --------- d-------- C:\Programme\Messenger
2007-07-22 19:11 --------- d-------- C:\Programme\Abbyy FineReader 6.0 Sprint
2007-07-16 16:59 --------- d-------- C:\Programme\microsoft frontpage
2007-07-06 13:43 --------- d-------- C:\Programme\ICQ6
2007-06-26 16:09 664576 -----c--- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:55 851968 -----c--- C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:08 1104896 -----c--- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-24 00:40 --------- d-------- C:\Programme\Lexmark 4300 Series
2007-06-24 00:40 --------- d-------- C:\DOKUME~1\***\ANWEND~1\Help
2007-06-22 17:14 --------- d-------- C:\DOKUME~1\***\ANWEND~1\Real
2007-06-22 17:12 --------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-06-22 17:12 --------- d-------- C:\Programme\Gemeinsame Dateien\Real
2007-06-22 17:11 --------- d-------- C:\Programme\Real
2007-06-22 16:12 --------- d-------- C:\Programme\Jasc Software Inc
2007-06-22 16:12 --------- d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2007-06-22 16:12 --------- d-------- C:\DOKUME~1\***\ANWEND~1\Jasc Software Inc
2007-06-22 14:46 --------- d-------- C:\Programme\BearShare
2007-06-21 18:12 --------- d-------- C:\DOKUME~1\***\ANWEND~1\Creative
2007-06-21 15:00 --------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-06-21 14:44 --------- d-------- C:\Programme\Windows Live
2007-06-21 14:44 --------- d-------- C:\Programme\MSN Messenger
2007-06-21 14:44 --------- d-------- C:\Programme\Messenger Plus! Live
2007-06-19 21:19 --------- d-------- C:\DOKUME~1\***\ANWEND~1\FaxCtr
2007-06-19 15:50 --------- d-------- C:\DOKUME~1\***\ANWEND~1\ICQ
2007-06-19 15:32 --------- d-------- C:\Programme\Alwil Software
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:31 282112 -----c--- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-19 15:17 --------- d--h----- C:\Programme\WindowsUpdate
2007-06-19 15:08 2724 --a------ C:\WINDOWS\pchealth\HelpCtr\PackageStore\SkuStore.bin
2007-06-19 15:06 8972 --a------ C:\WINDOWS\pchealth\HelpCtr\Config\Cntstore.bin
2007-06-19 15:01 --------- d-------- C:\Programme\Windows NT
2007-06-19 06:31 0 --a------ C:\WINDOWS\system32\drivers\eicon.txt
2007-06-19 06:25 --------- d-------- C:\Programme\Realtek AC97
2007-06-19 06:23 --------- d-------- C:\Programme\IEEE 802.11 Wireless LAN
2007-06-19 06:23 --------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-06-19 06:22 --------- d-------- C:\Programme\VIA
2007-06-19 06:21 --------- d-------- C:\Programme\Synaptics
2007-06-18 13:58 --------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-06-18 13:58 --------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-06-18 13:15 0 -rahs---- C:\MSDOS.SYS
2007-06-18 13:15 0 -rahs---- C:\IO.SYS
2007-06-18 13:15 0 --a------ C:\CONFIG.SYS
2007-06-18 13:15 0 --a------ C:\AUTOEXEC.BAT
2007-06-18 13:13 --------- d-------- C:\Programme\Online-Dienste
2007-06-18 13:12 --------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2007-06-18 13:12 --------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2007-06-18 13:11 --------- d-------- C:\Programme\Online Services
2007-06-18 13:10 --------- d-------- C:\Programme\MSN Gaming Zone
2007-06-14 20:09 96768 -----c--- C:\WINDOWS\system32\dllcache\inseng.dll
2007-06-14 20:09 617472 -----c--- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-14 20:09 55808 -----c--- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-14 20:09 532480 -----c--- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-14 20:09 474624 -----c--- C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-06-14 20:09 449024 -----c--- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-14 20:09 39424 -----c--- C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-06-14 20:09 357888 -----c--- C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-06-14 20:09 3079680 -----c--- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-14 20:09 251392 -----c--- C:\WINDOWS\system32\dllcache\iepeers.dll
2007-06-14 20:09 205312 -----c--- C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-06-14 20:09 16384 -----c--- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-14 20:09 152064 -----c--- C:\WINDOWS\system32\dllcache\cdfview.dll
2007-06-14 20:09 1494528 -----c--- C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-06-14 20:09 146432 -----c--- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-14 20:09 1056256 -----c--- C:\WINDOWS\system32\dllcache\danim.dll
2007-06-14 20:09 1023488 -----c--- C:\WINDOWS\system32\dllcache\browseui.dll
2007-06-14 16:07 18432 -----c--- C:\WINDOWS\system32\dllcache\iedw.exe
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-06-13 15:21 1036288 -----c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-05-17 13:28 549376 --a------ C:\WINDOWS\system32\oleaut32.dll
2007-05-17 13:28 549376 -----c--- C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-05-16 17:12 85504 -----c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:12 510976 -----c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:11 86528 -----c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:11 683520 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:11 1314816 -----c--- C:\WINDOWS\system32\dllcache\msoe.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-10-23 16:58]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-23 16:58]
"VTTimer"="VTTimer.exe" [2005-10-23 15:11 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-10-23 15:12 C:\WINDOWS\system32\VTTrayp.exe]
"STDSB"="C:\WINDOWS\system32\drivers\STDSB.exe" [2005-10-23 16:35]
"SoundMan"="SOUNDMAN.EXE" [2005-10-23 16:18 C:\WINDOWS\SOUNDMAN.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"lxcemon.exe"="C:\Programme\Lexmark 4300 Series\lxcemon.exe" [2005-08-02 19:45]
"EzPrint"="C:\Programme\Lexmark 4300 Series\ezprint.exe" [2005-07-26 14:17]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-06-22 17:11]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"LXCECATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 15:46]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56]

R2 MTC0007_STDSB;Scroll Bar Driver;C:\WINDOWS\system32\drivers\STDSB.sys
S2 STDSB;STDSB;C:\WINDOWS\system32\DRIVERS\STDSB.sys
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber;C:\WINDOWS\system32\DRIVERS\fetnd5.sys
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys
S3 ssm_bus;SAMSUNG Mobile USB Device II 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ssm_bus.sys
S3 ssm_mdfl;SAMSUNG Mobile USB Modem II 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ssm_mdfl.sys
S3 ssm_mdm;SAMSUNG Mobile USB Modem II 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ssm_mdm.sys
S3 V0090VID;Creative WebCam Vista Plus;C:\WINDOWS\system32\DRIVERS\V0090Vid.sys

*Newly Created Service* - HTTPFILTER

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ***//***.gmer.net
Rootkit scan 2007-08-16 21:32:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-16 21:33:14
C:\ComboFix-quarantined-files.txt ... 2007-08-16 21:33

--- E O F ---

--------------------

was hat denn das programm gemacht wenn ich fragen darf?

Folgende Programme solltest Du Deinstallieren

C:\Programme\BearShare
C:\Programme\Messenger Plus! Live

In dem Ordner C:\Qoobox liegt ein Backup der Datei
Icon.exe

Diese bitte an die eMail newvirus(a)kaspersky.com als Verschlüsseltes Archiv senden.

Zitat:

Die verdächtige Datei sollte zunächst mit Hilfe eines Packprogrammes, wie z.B. WinRar in ein Archiv gepackt und mit einem Passwort versehen werden. Die eMail sollte eine kurze Problembeschreibung, das erwähnte Passwort und logischerweise den Anhang beinhalten.

In dem Log sieht man weiter nichts, warten wir mal ab was Kaspersky sagt und Du machst derweil noch einen Scan mit eScan, Log hier posten.

Bata

hallo,

habe die programme gelöscht.. waren zwar 2 programme die mir bekannt waren und eigentlich ungefährlich sind, aber naja, was macht man nicht alles..

hab die datei nach ewigen hin und her klicken gefunden.. sie war in einem ordner namens quarantine oder so ähnlich (ja, mit i und nicht mit ä), und sie hieß komischerweiße "Icon.exe.vir".. und naja, ich hab sie auch verzippt, nur weiß ich leider nicht wie ich dateien mit einem passwort verzippe.. benutzte winrar.. weiß das vielleicht jemand damit ich die datei an kaspersky schicken kann?

danke schonmal

Bekannt ok, unschädlich nein. :D

Beide Programme sind bekannt dafür, dass sie Spy- und Adware bei ihrer Installation mitbringen. Zudem ist der Hauptinfektionsweg p2psharing. Also am besten nicht nur bearshare deinstallieren, sondern vor allem kein anderes neues Programm installieren!

quarantine ist englisch für quarantäne, das dürfte also seine Richtigkeit haben.
Wenn du Winrar benutzt, musst du eine rar datei erstellen, dann auf Advanced (normalerweise 2. Reiter) und dort auf Set Password. Passwort eingeben und auch den Haken bei bei "encrypt filename" anwählen.

lg myrtille

hey,

dass bearshare spyware mitbringt weiß ich.. aber naja, ich benutzte in letzter zeit eh ein programm wo ich die musik aus youtube ziehen kann..
und zu msn plus, ich weiß dass es da spyware mitbringt, aber man kann doch bei der installation auswählen ob die mitinstalliert wird oder nicht? o.O .. naja, jetzt ist es gelöscht und gut.

danke wegen winrar, ich werds gleich probieren.. hilft es eigentlich was wenn ich vor dem escan mein avast drüber laufen lasse?

lg

ähhhm es gibt ein kleines problem.. mein winrar ist auf deutsch :D und ich bin nicht so gut in englisch.. eine 4 im zeugniss und naja.. ^^

Nicht wirklich. Sollte avast was finden, dann wird er es in seinen Quarantäneordner verschieben und dann zeigt eScan den Fund eben dort an, anstatt in seinem ursprünglichen Ordner.

Wenn du dir etwas Zeit sparen willst und uns evtl ein paar Meldungen, könntest du vorher mit ccleaner dein System etwas säubern und die temp-ordner leeren.
(starten und dann unter der Kategorie Cleaner, Karteireiter Windows "Analyze" und dann "Run Cleaner" klicken).

Du kannst aber escan auch einfach direkt laufen lassen.

lg myrtille

EDIT:
Also ich hab keine deutsche version, ich kann dir also nur die bedeutungen übersetzten.
->Der 2. Reiter ist der auf den du klicken sollst. Müsste irgendwie "weitere Einstellungen" oder "fortgeschrittene Einstellungen" heißen.
Dort sollte es rechts auf halber Höhe einen Knopf "Passwort setzen" geben. Dann geht ein Fenster auf in dem du das Passwort eingeben kannst. Darunter befinden sich 2 Sätze die Du anhaken kannst. Beide Haken sollten gesetzt sein. Standardmäßig ist nur einer gesetzt.

ok, danke. ich werde jetzt erstmal die datei an kaspersky schicken und danach avast durchlaufen lassen.. danach werd ich wahrscheinlich ccleaner benutzen und danach escan.. schätze das wird ne lange nacht.. :pfui:

Wie gesagt avast kannst du dir gerne sparen. Wird auch so eine lange Nacht. ;)

Solltest du dich aber entschließen, den trotztdem durchlaufen zu lassen, dann poste auf jedenfall auch das Log von avast zum eScanlog. :)

lg myrtille

Hallo meine Retter :D,

ich hab gestern noch die Datei an Kaspersky geschickt und heute gleich eine Antwort erhalten (die sind ja fix).

Hello.

No malicious software was found in the attached file.

--
Regards, Ilya Goncharov
Virus Analyst, Kaspersky Lab.

also ist die datei icon.exe.vir doch kein virus o.Ä.? oder versteh ich die falsch? :confused:

und soll ich jetzt eScan noch drüberlaufen lassen, habs gestern nicht mehr gemacht..?

danke schonmal, ihr seid echt meine rettung :D

Hi,
du könntest sicherheitshalbe noch nen eScan machen, dauert normalerweise ca 2 Stunden. Je nach Menge an Daten und Rechnerkapazität länger oder kürzer. ;) (Ich hab zb 25GB aufm Rechner und brauche ca 30 min).

Es wäre nicht schlecht, weil wir bisher eigentlich nur die Autostarteinträge uÄ betrachtet haben und noch nicht alle Dateien auf deinem Rechner untersucht haben. Andererseits hätten wir Anzeichen für vorhandene Malware eigentlich schon in den anderen Logs finden sollen.
(eScan wird garantiert was auf deinem Rechner finden, es findet immer was. Also bitte nicht nervös werden und irgendwas löschen, häufig handelt es sich um Fehlerkennungen des Programms. ;))
Wenn du die Zeit also hast, würde ich dich bitten den Scan noch zu machen. (Nach dem ersten Fund brauchst du auch nicht mehr am Rechner zu sein, sondern kannst den Scan alleine durchlaufen lassen)

Was Combofix betrifft:
Ich kenne mich mit Combofix nicht so aus, aber augenscheinlich hat es erstmal die neuerstellten Dateien des letzten Monats gelistet, find3m scheint nach bestimmter Malware zu suchen, reg loading points sind Registryeinträge, die dazuführen, dass Programme ausgeführt werden und am schluss wird noch auf Rootkits getestet.
Das sind mE so ganz grob die Funktionen von Combofix. Wann und was es behebt lässt sich an deinem Log jetzt nicht erkennen, weil er ja eigentlich nix zum beheben gefunden hat. ;)
Vielleicht äußert sich Bata da ja nochmal zu. :)

lg myrtille

ok, danke für die aufklärung :)

dann werd ich eScan gleich mal durchlaufen lassen, mal schaun was passiert. hab ne 80GB festplatte, die aber geteilt wurde, 40GB XP und 40GB vista.. es werden dann also nur die 40GB XP untersucht oder? ... ach ist jetzt egal, ich hab zeit und lass eScan durchlaufen, egal wie lange es dauert..

melde mich später nomal ;)
und danke schonmal für eure hilfe, ihr habt mir bisher schon sehr geholfen :)

Zitat:

Zitat von myrtille (Beitrag 287910)

Wann und was es behebt lässt sich an deinem Log jetzt nicht erkennen, weil er ja eigentlich nix zum beheben gefunden hat. ;)

Exakt, an den Logs ist nichts zu erkennen, die mit Combofix endeckte Datei war ein false positive.
Mal sehen was der eScan so ausspuckt. ;)

Moin mytrille :party:

Bata

hey ihr 2 :)

hab gerade eScan durchlaufen lassen, hat wirklich etwas lang gedauert.. aber naja, was tut man nicht alles.

ich hab aber jetzt ein problem: wollte gerade die find.bat runterladen, aber als ich die seite geöffnet hab kam nur ein ewig langer text.. wenn ich auf "ziel speichern unter" geh wird eine datei gespeichert die ich nicht öffnen kann. mach ich etwas falsch? bin ich zu dumm und hab was überlesen? :confused:

Was bedeutet "die du nicht öffnen kannst"? Was passiert wenn du einen Doppelklick auf die Datei machst?

lg myrtille

es kommt ein fenster "öffnen mit" indem ich auswählen kann, mit welchem programm ich es öffnen möchte. also editor, firefox, ..

wie heißt denn die Datei? bzw die Endung? :confused:

Eigentlich ist das einfach ne Stapeldatei, die sollte von Windows ausgeführt werden können.

lg myrtille

die datei heißt find. und bei der endung zeigt er mir nichts an. wenn ich auf eigenschaften gehe steht dort "Dateityp: Datei | Beschreibung: find"

benenne die Datei mal um in find.bat, dann sollte es gehen.

Also gib ihm die Endung ".bat"

lg myrtille

oke, jetzt geht es. aber jetzt wird mir nur ein schwarzes eingabefenster angezeigt. :confused: muss ich da was reinschreiben? (sorry für meine vielen fragen..)

Nein, eigentlich sollte das schwarze Fenster jetzt alles machen. ;)

Wenn in 5-10 Minuten allerdings immernoch nichts passiert (es sollte sich ein Editor mit Text öffnen) meld dich nochmal. :) Dann haben wir ein kleines Problem, sollte aber lösbar sein.

lg myrtille

danke ;)

-------------------

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.7
Sprache: German
C:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{E06CCCAB-092E-4D25-B050-733456495CD6}\RP20\A0004331.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{E06CCCAB-092E-4D25-B050-733456495CD6}\RP6\A0003527.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
D:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QOFKZBZZ\swflash[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 148077
Gefundene Viren: 9
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 32
Dauer des Scans bisher: 01:43:45
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:57:38,68
Batchende: 18:58:00,78

Hi,
die ganzen Funde sind Falsepositives, das heißt eScan hat keinerlei Viren bei dir gefunden. ;) Ich denke das heißt, du solltest sauber sein. :D

lg myrtille

aber eScan hat doch angezeigt beim scannen: Viren 9
was war damit dann gemeint? :confused:

Zitat:

Zitat von Kitty.Kat (Beitrag 288005)

aber eScan hat doch angezeigt beim scannen: Viren 9
was war damit dann gemeint? :confused:

eScan findet immer etwas (auch wenn es nur harmlose Registry-Einträge sind), schliesslich sind alle Nutzer potentielle Käufer der Vollversion, die einem schmackhaft gemacht werden soll!:)

achso.. na dann ist ja alles gut :Boogie:

vielen dank an alle die mir geholfen haben, besonders dir myrtille ;)

Lg Kitty.Kat

Da hätte ich wohl dazuschreiben sollen, dass er keinerlei ECHTE Viren gefunden. :D :blabla: :D

Ein angenehmes Weitersufren wünsche ich noch :)

lg myrtille

Do me a favour

unter %WINDIR%\Debug wird vom Tool zur Entfernung... eine Protokolldatei mit dem Namen mrt.log erstellt.
Diese dann unter C:\WINDOWS\Debug\mrt.log liegende Datei bitte hier als ['CODE]['/CODE] posten.

Bata