Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   escan findet viren - was tun? (https://www.trojaner-board.de/49131-escan-findet-viren-tun.html)

gerbasso 05.02.2008 00:51
escan findet viren - was tun?
 
hallo forenteam, ich bin heute eher durch zufall beim googeln auf euch gestossen. ich hatte die letzte zeit den leisen verdacht, dass mein rechner sich was eingefangen hat. gestern lies ich kaspersky durchlaufen und der fand einen trojaner und hat es entfernt. weil der kasper aus erfahrung nicht alles findet hab ich noch ein bissl weitergesucht und bin auf euch und die empfehlung escan gestossen. habs drüberlaufen lassen und siehe da, 7 viren und zahlreiche fehler. so nun problem: meine bisherigen scanner haben fehler immer gleich korrigiert und da ich escan ja nicht "bezahlt" habe, hab ich nun nur das protokoll. wie bekomme ich die viren nun weg und die fehler korrigiert? ich danke euch riesig für die hilfe und hoffe, keine "pers. daten" verraten zu haben.
ich kann die find.bat von Haui45 kann ich nicht runterladen, da die hp down ist... und wenn ich euch jetzt nur die letzten zeilen des protokolls poste werded ihr wohl nicht viel mit anfangen können. wie nun weiter?

so das ende des protokolls bei escan:

Mon Feb 04 19:57:44 2008 => ***** Scan vollständig. *****

Mon Feb 04 19:57:44 2008 => Gescannte Dateien: 50877
Mon Feb 04 19:57:44 2008 => Gefundene Viren: 7
Mon Feb 04 19:57:44 2008 => Anzahl der desinfizierten Dateien: 0
Mon Feb 04 19:57:44 2008 => Umbenannte Dateien: 0
Mon Feb 04 19:57:44 2008 => Anzahl der gelöschten Dateien: 0
Mon Feb 04 19:57:44 2008 => Anzahl Fehler: 55
Mon Feb 04 19:57:44 2008 => Dauer des Scans bisher: 00:14:17
Mon Feb 04 19:57:44 2008 => Virus-Datenbank Datum: 2/4/2008
Mon Feb 04 19:57:44 2008 => Virus-Datenbank Zähler: 547612

Mon Feb 04 19:57:44 2008 => Scan vollständig.

Mon Feb 04 19:58:52 2008 => Virus-Datenbank Datum: 2/4/2008
Mon Feb 04 19:58:52 2008 => Virus-Datenbank Zähler: 547612
Mon Feb 04 19:59:05 2008 => Virusliste wird erstellt... getvlist.exe C:\DOKUME~1\Basso\LOKALE~1\Temp\vlist.txt
Mon Feb 04 20:02:00 2008 => Uninitializing Scanner (3)...
Mon Feb 04 20:02:11 2008 => Freeing Libraries (3)...
Mon Feb 04 20:02:11 2008 => AV Library Unloaded (3)...
Mon Feb 04 20:19:50 2008 => **********************************************************
Mon Feb 04 20:19:50 2008 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Mon Feb 04 20:19:50 2008 => Copyright (c) MicroWorld
Mon Feb 04 20:19:50 2008 => **********************************************************
Mon Feb 04 20:19:50 2008 => Source: D:\mwav.exe
Mon Feb 04 20:19:50 2008 => Version 9.6.9
Mon Feb 04 20:19:50 2008 => Protokolldatei: C:\DOKUME~1\Basso\LOKALE~1\Temp\MWAV.LOG
Mon Feb 04 20:19:50 2008 => Datum und Uhrzeit des letzten Scans: 04.02.2008 19:43:25
Mon Feb 04 20:19:50 2008 => MWAV Registered: FALSE.
Mon Feb 04 20:19:50 2008 => User Account: Basso (Administrator Mode)
Mon Feb 04 20:19:50 2008 => OS Type: Windows Workstation
Mon Feb 04 20:19:50 2008 => OS: Windows XP
Mon Feb 04 20:19:50 2008 => Ver: Service Pack 2 (Build 2600)
Mon Feb 04 20:19:50 2008 => Windows Root Folder: C:\WINDOWS
Mon Feb 04 20:19:50 2008 => Windows Sys32 Folder: C:\WINDOWS\system32
Mon Feb 04 20:19:50 2008 => Interface0 NameServer: 139.18.25.3
Mon Feb 04 20:19:50 2008 => Local Fixed Drives: c:\,d:\,e:\
Mon Feb 04 20:19:50 2008 => MWAV Mode: Only Scan files.
Mon Feb 04 20:19:50 2008 => [CREATED ZIP FILE C:\DOKUME~1\Basso\LOKALE~1\Temp\pinfect.zip]

Mon Feb 04 20:19:50 2008 => **********Dateien, die in den letzten vierzehn Tagen im Windows-Ordner erstellt und modifiziert wurden **********
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\system32\CoreAAC.ax (175104), 04-Apr-2007 [HSR] [Added C:\WINDOWS\system32\CoreAAC.ax to ZIP FILE]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\system32\DiracSplitter.ax (179200), 04-Apr-2007 [HSR], Gabest, Dirac Splitter [Added C:\WINDOWS\system32\DiracSplitter.ax to ZIP FILE]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\system32\Power.sys (2869), 04-Feb-2008 [Added C:\WINDOWS\system32\Power.sys to ZIP FILE]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\system32\RLOgg.ax (186880), 04-Apr-2007 [HSR], RadLight, RadLight Ogg Splitter [Added C:\WINDOWS\system32\RLOgg.ax to ZIP FILE]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\system32\RLSpeexDec.ax (51712), 04-Apr-2007 [HSR] [Added C:\WINDOWS\system32\RLSpeexDec.ax to ZIP FILE]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\system32\RLTheoraDec.ax (67584), 04-Apr-2007 [HSR], RadLight, LLC, Theora Decoder [Added C:\WINDOWS\system32\RLTheoraDec.ax to ZIP FILE]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\system32\RLVorbisDec.ax (92672), 04-Apr-2007 [HSR], RadLight, RadLight Vorbis Decoder [Added C:\WINDOWS\system32\RLVorbisDec.ax to ZIP FILE]
Mon Feb 04 20:19:51 2008 => C:\bootfont.bin (4952), 23-Mar-2003 [HSR]
Mon Feb 04 20:19:51 2008 => C:\NTDETECT.COM (47564), 23-Mar-2003 [HSR]

Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$MSI31Uninstall_KB893803$, 23-Oct-2005 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$MSI31Uninstall_KB893803v2$, 03-Apr-2006 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallMSCompPackV1$, 17-Nov-2006 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ322011$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ323183$, 24-Nov-2005 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ327979$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ328310$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ329048$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ329115$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ329170$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ329390$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ329441$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ329834$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ331953$, 01-Apr-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ810565$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ810577$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ810833$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ814033$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallQ814995$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallWMFDist11$, 17-Nov-2006 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallwmp11$, 17-Nov-2006 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\$NtUninstallWudf01000$, 17-Nov-2006 [H] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\Fonts, 22-Mar-2003 [SR] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\Tasks, 22-Mar-2003 [S] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\WINDOWS\system32\Microsoft, 22-Mar-2003 [S] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\found.000, 13-Sep-2004 [HS] [Ordner]
Mon Feb 04 20:19:51 2008 => C:\ppmaterecord, 31-Jan-2008 [Ordner]
Mon Feb 04 20:19:51 2008 => C:\Programme\OXXOGames, 27-Jan-2008 [Ordner]
Mon Feb 04 20:19:51 2008 => C:\Programme\PPMate, 31-Jan-2008 [Ordner]
Mon Feb 04 20:19:51 2008 => C:\Programme\TVUPlayer, 03-Feb-2008 [Ordner]
Mon Feb 04 20:19:51 2008 => C:\Programme\WindowsUpdate, 22-Mar-2003 [H] [Ordner]

Mon Feb 04 20:19:51 2008 => [Made copy of PINFECT.ZIP as C:\DOKUME~1\Basso\EIGENE~1\pinfect.zip]
Mon Feb 04 20:19:51 2008 => *********************************************************************************************

Mon Feb 04 20:19:51 2008 => Letztes Datum der MWAV Dateien: 04 Feb 2008 16:02:4.
Mon Feb 04 20:19:56 2008 => AV Bibliothek wird geladen...
Mon Feb 04 20:19:56 2008 => MWAV doing self scanning...
Mon Feb 04 20:19:56 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\getvlist.exe
Mon Feb 04 20:19:56 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\main.avi
Mon Feb 04 20:19:56 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\virus.avi
Mon Feb 04 20:19:56 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\ScanningProcess.exe
Mon Feb 04 20:19:56 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\kave.dll
Mon Feb 04 20:19:56 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\prloader.dll
Mon Feb 04 20:19:56 2008 => MWAV files are clean.
Mon Feb 04 20:19:57 2008 => Virus-Datenbank Datum: 2/4/2008
Mon Feb 04 20:19:57 2008 => Virus-Datenbank Zähler: 547612
Mon Feb 04 20:23:11 2008 => Uninitializing Scanner (3)...
Mon Feb 04 20:23:15 2008 => Freeing Libraries (3)...
Mon Feb 04 20:23:15 2008 => AV Library Unloaded (3)...
Mon Feb 04 23:25:21 2008 => **********************************************************
Mon Feb 04 23:25:21 2008 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Mon Feb 04 23:25:21 2008 => Copyright (c) MicroWorld
Mon Feb 04 23:25:21 2008 => **********************************************************
Mon Feb 04 23:25:21 2008 => Source: D:\mwav.exe
Mon Feb 04 23:25:21 2008 => Version 9.6.9
Mon Feb 04 23:25:21 2008 => Protokolldatei: C:\DOKUME~1\Basso\LOKALE~1\Temp\MWAV.LOG
Mon Feb 04 23:25:21 2008 => Datum und Uhrzeit des letzten Scans: 04.02.2008 19:43:25
Mon Feb 04 23:25:21 2008 => MWAV Registered: FALSE.
Mon Feb 04 23:25:21 2008 => User Account: Basso (Administrator Mode)
Mon Feb 04 23:25:21 2008 => OS Type: Windows Workstation
Mon Feb 04 23:25:21 2008 => OS: Windows XP
Mon Feb 04 23:25:21 2008 => Ver: Service Pack 2 (Build 2600)
Mon Feb 04 23:25:21 2008 => Windows Root Folder: C:\WINDOWS
Mon Feb 04 23:25:21 2008 => Windows Sys32 Folder: C:\WINDOWS\system32
Mon Feb 04 23:25:21 2008 => Interface0 NameServer: 139.18.25.3
Mon Feb 04 23:25:21 2008 => Local Fixed Drives: c:\,d:\,e:\
Mon Feb 04 23:25:21 2008 => MWAV Mode: Only Scan files.
Mon Feb 04 23:25:21 2008 => [CREATED ZIP FILE C:\DOKUME~1\Basso\LOKALE~1\Temp\pinfect.zip]

Mon Feb 04 23:25:21 2008 => **********Dateien, die in den letzten vierzehn Tagen im Windows-Ordner erstellt und modifiziert wurden **********
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\system32\CoreAAC.ax (175104), 04-Apr-2007 [HSR] [Added C:\WINDOWS\system32\CoreAAC.ax to ZIP FILE]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\system32\DiracSplitter.ax (179200), 04-Apr-2007 [HSR], Gabest, Dirac Splitter [Added C:\WINDOWS\system32\DiracSplitter.ax to ZIP FILE]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\system32\Power.sys (2869), 04-Feb-2008 [Added C:\WINDOWS\system32\Power.sys to ZIP FILE]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\system32\RLOgg.ax (186880), 04-Apr-2007 [HSR], RadLight, RadLight Ogg Splitter [Added C:\WINDOWS\system32\RLOgg.ax to ZIP FILE]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\system32\RLSpeexDec.ax (51712), 04-Apr-2007 [HSR] [Added C:\WINDOWS\system32\RLSpeexDec.ax to ZIP FILE]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\system32\RLTheoraDec.ax (67584), 04-Apr-2007 [HSR], RadLight, LLC, Theora Decoder [Added C:\WINDOWS\system32\RLTheoraDec.ax to ZIP FILE]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\system32\RLVorbisDec.ax (92672), 04-Apr-2007 [HSR], RadLight, RadLight Vorbis Decoder [Added C:\WINDOWS\system32\RLVorbisDec.ax to ZIP FILE]
Mon Feb 04 23:25:21 2008 => C:\bootfont.bin (4952), 23-Mar-2003 [HSR]
Mon Feb 04 23:25:21 2008 => C:\NTDETECT.COM (47564), 23-Mar-2003 [HSR]

Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$MSI31Uninstall_KB893803$, 23-Oct-2005 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$MSI31Uninstall_KB893803v2$, 03-Apr-2006 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallMSCompPackV1$, 17-Nov-2006 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ322011$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ323183$, 24-Nov-2005 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ327979$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ328310$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ329048$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ329115$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ329170$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ329390$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ329441$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ329834$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ331953$, 01-Apr-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ810565$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ810577$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ810833$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ814033$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallQ814995$, 23-Mar-2003 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallWMFDist11$, 17-Nov-2006 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallwmp11$, 17-Nov-2006 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\$NtUninstallWudf01000$, 17-Nov-2006 [H] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\Fonts, 22-Mar-2003 [SR] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\Tasks, 22-Mar-2003 [S] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\WINDOWS\system32\Microsoft, 22-Mar-2003 [S] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\found.000, 13-Sep-2004 [HS] [Ordner]
Mon Feb 04 23:25:21 2008 => C:\ppmaterecord, 31-Jan-2008 [Ordner]
Mon Feb 04 23:25:21 2008 => C:\Programme\OXXOGames, 27-Jan-2008 [Ordner]
Mon Feb 04 23:25:21 2008 => C:\Programme\PPMate, 31-Jan-2008 [Ordner]
Mon Feb 04 23:25:21 2008 => C:\Programme\Spybot - Search & Destroy, 04-Feb-2008 [Ordner]
Mon Feb 04 23:25:21 2008 => C:\Programme\TVUPlayer, 03-Feb-2008 [Ordner]
Mon Feb 04 23:25:21 2008 => C:\Programme\WindowsUpdate, 22-Mar-2003 [H] [Ordner]

Mon Feb 04 23:25:21 2008 => [Made copy of PINFECT.ZIP as C:\DOKUME~1\Basso\EIGENE~1\pinfect.zip]
Mon Feb 04 23:25:21 2008 => *********************************************************************************************

Mon Feb 04 23:25:22 2008 => Letztes Datum der MWAV Dateien: 04 Feb 2008 16:02:4.
Mon Feb 04 23:25:27 2008 => AV Bibliothek wird geladen...
Mon Feb 04 23:25:27 2008 => MWAV doing self scanning...
Mon Feb 04 23:25:27 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\getvlist.exe
Mon Feb 04 23:25:27 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\main.avi
Mon Feb 04 23:25:27 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\virus.avi
Mon Feb 04 23:25:27 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\ScanningProcess.exe
Mon Feb 04 23:25:27 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\kave.dll
Mon Feb 04 23:25:27 2008 => Scanne Datei C:\DOKUME~1\Basso\LOKALE~1\Temp\prloader.dll
Mon Feb 04 23:25:27 2008 => MWAV files are clean.
Mon Feb 04 23:25:28 2008 => Virus-Datenbank Datum: 2/4/2008
Mon Feb 04 23:25:28 2008 => Virus-Datenbank Zähler: 547612

gerbasso 07.02.2008 20:05
hallo leute, ich weis ehrlich nicht ob ich mein problem falsch beschrieben habe oder mir einfach niemand helfen kann. ich möchte auch in keinster weise drängeln. aber falls doch jemand von euch mir bei meinem problem helfen kann, wäre ich äußerst danbar. ich habe schon kontakt zum moderator yopie gesucht, der mir aber leider aus zeittechnischen gründen nicht helfen konnte und er bat mich, mich nochmal an euch zu wenden. danke für eure hilfe.

KarlKarl 07.02.2008 20:53
Hi,

wenn das mit der find.bat für dich nicht klappt, obwohl es für andere klappt, dann musst Du wohl das Escan-Log in den Editor laden und alle darin vorkommenden Funde von Hand hierher kopieren. Das Stück oben jedenfalls sagt nichts aus.

Escan ist bekannt dafür, beachtliche Mengen Fehlalarme zu erzeugen, damit man auf die Idee kommt, sich die Kaufversion zuzulegen. Dazu legt er auch noch Pseudo-Malware auf dem Rechner ab. Wenn Du einen Kaspersky-Scan gemacht hast, besteht kein Grund dafür, Escan zu benutzen, da der Kaspersky-Erkennungen nutzt (erweitert um die Fehlalarme).

Besser mal mitteilen, was Kaspersky gefunden hat, dazu ein Hijackthis, Escan vom System löschen.

Gruß, Karl

gerbasso 10.02.2008 17:15
Diesen Fehler hab ich bei Nutzung find.bat
-download klappt nun
-bei versuch des entpackens kommt fehler: der zip komprimierte ordner ist ungültig oder beschädigt

Folgende infected Files spuckt mwav.log aus:
Mon Feb 04 19:44:55 2008 => System found infected with video activex access Trojan
({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
Mon Feb 04 19:45:06 2008 => Offending file found: C:\DOKUME~1\Basso\LOKALE~1\Temp\skinmagic.dll
Mon Feb 04 19:45:06 2008 => System found infected with xp advanced keylogger Commercial KeyLogger
(skinmagic.dll)! Action taken: Keine Aktion vorgenommen.
Mon Feb 04 19:45:45 2008 => Offending file found: C:\Dokumente und Einstellungen\Basso\Lokale
Einstellungen\temp\skinmagic.dll
Mon Feb 04 19:45:45 2008 => System found infected with xp advanced keylogger Commercial KeyLogger
(skinmagic.dll)! Action taken: Keine Aktion vorgenommen.
Mon Feb 04 19:46:40 2008 => Offending file found: C:\WINDOWS\iun6002.exe
Mon Feb 04 19:46:40 2008 => System found infected with remacc.multiwebsurv Generic Malware
(C:\WINDOWS\iun6002.exe)! Action taken: Keine Aktion vorgenommen.
Mon Feb 04 19:46:41 2008 => Offending Registry Entry found:
hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/nowinkeys
Mon Feb 04 19:46:41 2008 => System found infected with backdoor (ircbot) trojans Spyware/Adware
(hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/nowinkeys)! Action taken: Keine
Aktion vorgenommen.

Diesen Fehler fand Kaspersky vor E-Scan:
03.02.2008 19:19:04 Datei c:\dokumente und einstellungen\basso\lokale einstellungen\temporary internet
files\content.ie5\kuhnxghi\1[1].js//JSPack, gefunden: trojanisches Programm 'Trojan-Downloader.JS.Agent.awo'.
03.02.2008 19:19:35 Datei c:\dokumente und einstellungen\basso\lokale einstellungen\temporary internetfiles\content.ie5\kuhnxghi\1[1].js wurde gelöscht.

Hijackthis - Bericht

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:56:33, on 10.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Power Management\PwrGui.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\studnet\studnet.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\E_S00RP2.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON

Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [studNET-Autologin] C:\WINDOWS\system32\studnet\studnet.exe /auto
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: T-DSL Manager.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: T-DSL Manager.lnk = ? (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} -

C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file

missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - h**p://www.medionshop.de/ (file

missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144068256493
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) -

h**p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -

h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA} (Java Plug-in 1.3.1_16) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3D3823C-8CD2-46FD-848D-1088BF968901}: NameServer = 139.18.25.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky

Security Suite V\avp.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION -

C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame

Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft

Shared\VS7Debug\mdm.exe (file missing)
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame

Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony

Shared\AVLib\Sptisrv.exe
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - Unknown owner - C:\WINDOWS\system32\SAgent4.exe

(file missing)
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe

--
End of file -

gerbasso 13.02.2008 22:52
Hi Leute,

Ich mag das pushen eines Themas ja auch nicht besonders, aber kann mir echt keiner helfen? Hab ich mir was ernsthaftes eingefangen und wenn ja was kann ich jetzt tun?

Vielen Dank für eure Hilfe.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:53 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129