|
e-scan meldet: gain.gator, trojan-downloader, NULLBYTE-spyware und 20 Viren. Was nun? Hi und guten Abend. Ich habe auf meinem PC verschiedene unbekannte Prozesse entdeckt. Unter anderem: EBUQNWOQRJOBDO.exe Außerdem verursachte seit einiger Zeit einer der svchost.exe-Dienste nach System-Start stets 99% CPU-Last. Alle Ratschläge, die ich dazu hier im Forum fand, habe ich bereits umgesetzt. Folgende Schritte habe ich heute durchgeführt: - HJT scan + LogFile - Ergebnis: keine Auffälligkeiten - silent runners.vbs - Ergebnis: keine Auffälligkeiten - escan nach updates im abgesicherten Modus ausgeführt. Ergebnis: siehe oben. Anschliessend habe ich eine Test-Version von KAV 7.0 heruntergeladen. Installation war jedoch nicht möglich. Obwohl mit Administrator-Rechten im abgesicherten Modus angemeldet, erhalte ich die Fehlermeldung: "Der Systemadministrator hat Richtlinien erlassen, um diese Installation zu verhindern." Ich bitte um Eure Hilfe. Zum Einstieg poste ich mal die Klartext- Auswertung des e-scan, escan_neu und HJT-Logfile Dies ist glaube ich mein erster Beitrag hier; ich hab die Forenregln nochmal gelesen. Wenn mir beim Posten trotzdem irgendwelche Fehler unterlaufen, bitte ich um Nachsicht. So, jetzt freue ich mich über jeden Hinweis. k-pax ------------------------------------------------------------------------ escan - Auswertung: Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\JavaWebStart.isInstalled.1.5.0.0" verweist auf das ungültige Objekt "{5852F5ED-8BF4-11D4-A245-0080C6F74284}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\activex.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\system32\muweb.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\activex.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\muweb.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{02BE569D-7BBD-4451-A955-C0CDFB0695F1}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ------------------------------------------------------------------------- escan_neu vom 04.10.2007 21:08 Uhr: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.4 Sprache: German Virus-Datenbank Datum: 10/4/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Thunderbird\Profiles\pgvgfokh.default\Mail\Local Folders\Persönliche Ordner XP.sbd\Posteingang.sbd\nach Themen.sbd\pandasoft.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\ISP\T-online\T-Online\Software\Virenschutz\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\NIS2005\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\layout.bin infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\Pinnacle.ico infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\Setup.bmp infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\setup.exe infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\setup.ibt infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\setup.ini infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\Setup.inx infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\setup.inx_alt infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\setup.skin infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Pmc-21\Setup\Uninstall.ico infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\Daten\Papierkorb+Restored\Dokumente und Einstellungen\Administrator\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\Dokumente und Einstellungen\Default User\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei D:\Downloads\Microsoft\Windows Key Changer\kf151 - keyfinder -.zip/keyfinder.exe/officekey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\MAGIX\Fotos_auf_CD_35\hrpjna01.dat nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\MAGIX\mp3maker_2004_SE\hrpjna01.dat nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\MAGIX\videodeLuxe_0405_SE\hrpjna01.dat nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Office11\W2561404.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Dokumente und Einstellungen\XP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9DMX10X\DC500[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Downloads\anti virus scans\avz4en.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Downloads\Festplatten und Partitionen verwalten\Maxtor Tools\MaxBlastSetup.en.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Downloads\WLAN\WiFiFoFum2Installer.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\install CDs\OFFICE11_ check\W2561404.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 141487 Gefundene Viren: 20 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 156 Dauer des Scans bisher: 02:06:59 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 21:07:31,81 Batchende: 21:07:59,00 -------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:58:51, on 04.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\taskmgr.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\HijackThis\HijackThis.exe O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Schmierblatt] C:\Programme\Schmierblatt\Schmierblatt.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- End of file - 1933 bytes ------------------------------------------------------------------------- ENDE |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:38 Uhr. |
Copyright ©2000-2026, Trojaner-Board