|
Trojana TR/Inject.ZS Hallo, ich habe mir den Trojaner TR/Inject.ZS eingefangen. Er wird beim Herauffahren des Systems von Antivir erkannt und dann von mir gelöscht. Nachdem der Rechner herunter gefahren und später erneut gestartet wird, ist der Trojana wieder da. Wer kann mir so helfen, dass auch ein nicht so ganz mit dem PC-Inhalt Vertrauter damit klar kommt? Logfile ist beigefügt Mein System: Win XP SP2 Antivir Zonealarm Ad-Adware msm |
Hallo und Herzlich Willkommen im Board, in welchen Pfad wurde der Trojaner gefunden ? 1. In deinen HiJackThis-Log sehe ich nur gute Einträge. Bitte mach zur Sicherheit noch mal ein neues HiJackThis-Log und achte dabei auf folgendes: -HiJackThis sollte in einen eigenen Ordner liegen [c:/->Mit Rechtsklick einen neuen Ordner erstellen->Ordner HiJackThis nennen] -Die Anwendung HiJackThis in diesen Ordner verlegen. -Die Anwendung HiJackThis in ABC.com umbennen und starten. -Frisches HiJackThis-Log posten. |
Hallo -- der Pfad lautet C:\Dokumente und Einstellungen\All Users\Startmenue\Programme\Autostart\svchost.exe neuer Logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:41:37, on 24.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\SLEE401.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\j2re1.4.2_15\bin\jusched.exe C:\Programme\Steganos Security Suite 5\spm.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Eigene Dateien\PC-Anweisungen\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = freenet.de - DSL Internet E-Mail Nachrichten Chat Shopping und alle aktuellen Themen O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\j2re1.4.2_15\bin\jusched.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_15\bin\npjpi142_15.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_15\bin\npjpi142_15.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE401.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5539 bytes |
Hmm ok also eine System Datei ist infiziert. Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung Anleitung SmitfraudFix: Lade dir dieses Tool -Starte es dann und lass das System durchsuchen. (Option 2) -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans ComboFix -Lade dir das Tool hier herunter -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! (Systemwiederherstellung kann nun wieder aktiviert werden.) |
Wo kann ich das Tool herunterladen? Link? M. |
So, hier ist nun der Logfile von Smitfraudfix: SmitFraudFix v2.308 Scan done at 16:29:37,63, 24.03.2008 Run from C:\Eigene Dateien\PC-Anweisungen\Smitfraudfix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: AVM FRITZ!Box SL #2 - Paketplaner-Miniport DNS Server Search Order: 192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{67BAEE8E-3DE6-487C-8FD6-30FE4156C0E8}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{67BAEE8E-3DE6-487C-8FD6-30FE4156C0E8}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{67BAEE8E-3DE6-487C-8FD6-30FE4156C0E8}: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
Hallo, es geht immer noch um " meinen " Trojaner TR/Inject.zs Hat niemand eine Lösung ? M. |
Zitat:
CCleaner Temporäre Dateien mit CCleaner bereinigen Download CCleaner und installiere ihn, (klicke die Toolbar weg!). Danach CCleaner starten und => unter options settings => german einstellen. Gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows" (alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner"). Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten". Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner". ComboFix -Lade dir das Tool hier herunter -> KLICK Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist: Anleitung Combofix |
Hallo - hier zunächst der Pfad, wo der Trojaner lt. Antivir auftaucht: C:\Dokumente Einstellungen\AllUsers\Startmenue\Programme\AutoStart\svchost.exe und hier der Lpofile von combofix: ComboFix 08-03-26.1 - Manfred 2008-03-27 19:15:59.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.95 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Manfred\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 )))))))))))))))))))))))))))))) . 2008-03-27 18:50 . 2008-03-27 18:50 <DIR> d-------- C:\Programme\CCleaner 2008-03-26 17:23 . 2008-03-26 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\EPSON 2008-03-24 15:57 . 2008-03-24 15:57 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-03-24 15:56 . 2007-03-04 18:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-03-24 15:56 . 2007-03-04 18:41 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-03-24 15:56 . 2007-03-04 18:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-03-24 15:56 . 2007-03-04 18:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-03-24 15:56 . 2007-03-04 18:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-03-24 15:56 . 2007-03-04 18:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-03-24 15:56 . 2007-03-04 18:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-03-24 14:29 . 2008-03-24 14:06 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2008-03-24 14:05 . 2008-03-24 14:32 <DIR> d-------- C:\Dokumente und Einstellungen\Manfred\.housecall6.6 2008-03-24 10:12 . 2008-03-24 10:12 <DIR> d-------- C:\Programme\Trend Micro 2008-03-24 08:05 . 2008-03-24 08:30 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-03-23 17:51 . 2008-03-23 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen 2008-03-23 17:42 . 2004-08-04 00:57 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-03-23 17:40 . 2008-03-23 17:40 <DIR> d-------- C:\WINDOWS\provisioning 2008-03-23 17:33 . 2008-03-23 17:33 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-03-23 17:26 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002392_.tmp 2008-03-23 17:25 . 2005-02-25 04:34 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2008-03-23 17:22 . 2008-03-23 17:41 <DIR> d-------- C:\WINDOWS\EHome 2008-03-23 17:18 . 2008-03-23 17:18 0 --a------ C:\WINDOWS\WATCH.INI 2008-03-23 15:56 . 2004-08-03 23:15 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys 2008-03-23 15:56 . 2004-08-03 23:08 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys 2008-03-22 10:05 . 2008-03-22 10:05 <DIR> d-------- C:\WUTemp 2008-03-22 10:05 . 2004-08-04 00:57 192,000 --a------ C:\WINDOWS\system32\iuengine.dll 2008-03-16 18:19 . 2008-03-16 18:19 <DIR> d-------- C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\IEPro 2008-03-16 18:18 . 2008-03-16 18:19 <DIR> d-------- C:\Programme\IEPro 2008-03-08 13:02 . 2008-03-08 13:02 47,872 --a------ C:\WINDOWS\system32\drivers\kbd.sys 2008-02-28 17:26 . 2008-02-28 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\T-Online 2008-02-28 17:26 . 2008-02-28 17:26 12,204 --a------ C:\WINDOWS\system32\NULL 2008-02-28 17:16 . 2008-02-28 17:20 <DIR> d-------- C:\WINDOWS\system32\URTTemp 2008-02-28 17:11 . 2008-02-28 23:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared 2008-02-28 17:11 . 2008-02-28 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online 2008-02-28 17:10 . 2008-02-28 17:10 <DIR> d--hs---- C:\WINDOWS\ftpcache 2008-02-28 17:10 . 2008-02-29 00:22 <DIR> d-------- C:\Programme\T-Online 2008-02-28 17:09 . 2008-02-28 17:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio 2008-02-27 17:16 . 2008-02-27 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\FRITZ! 2008-02-27 17:06 . 2008-02-27 17:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVM 2008-02-27 17:06 . 2008-02-27 17:24 <DIR> d-------- C:\Programme\FRITZ!DSL 2008-02-27 17:06 . 2003-03-19 08:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-02-27 17:06 . 2002-01-05 05:48 974,848 --a------ C:\WINDOWS\system32\mfc70.dll 2008-02-27 17:06 . 2004-04-28 09:03 374,272 --a------ C:\WINDOWS\system32\drivers\NETFWDSL.SYS 2008-02-27 17:06 . 2002-01-05 04:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll 2008-02-27 17:06 . 2003-04-15 17:54 31,232 --a------ C:\WINDOWS\system32\i2errDeu.dll 2008-02-27 17:06 . 2004-04-28 08:58 27,648 --a------ C:\WINDOWS\system32\drivers\Aadev.sys 2008-02-27 17:06 . 2004-04-28 09:03 11,264 --a------ C:\WINDOWS\system32\drivers\netdsl.sys 2008-02-27 17:06 . 2004-04-30 13:03 3,069 --a------ C:\WINDOWS\system32\NETDSL.INF 2008-02-27 17:06 . 2004-04-30 13:03 1,778 --a------ C:\WINDOWS\system32\Netfwdsl.inf . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-25 18:18 50,848 ----a-w C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-03-23 18:13 --------- d-----w C:\Programme\OfficeManager 2008-03-22 14:49 86,528 ----a-w C:\WINDOWS\system32\VACFix.exe 2008-03-17 19:05 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-16 07:30 2,056,192 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp 2008-03-15 16:16 82,432 ----a-w C:\WINDOWS\system32\IEDFix.exe 2008-02-29 07:56 --------- d-----w C:\Programme\iPhoto Plus 4 2008-02-28 22:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero 2008-02-27 18:46 17,291,958 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_02_27_17_10_45_full.dmp.zip 2007-11-20 17:15 2,641,046 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2007-03-17 10:55 89,521 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_17_11_54_09_small.dmp.zip . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SSS5SPM"="C:\Programme\Steganos Security Suite 5\spm.exe" [2003-03-18 16:34 147456] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:58 1667584] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-04-07 18:29 1106297] "AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-04-07 18:37 1827640] "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-04-07 18:30 126976] "Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 22:38 968696] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 14:38 249896] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_15\bin\jusched.exe" [2007-05-22 17:39 32881] "Cmaudio"="cmicnfg.cpl" [] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] "SSS5"="C:\Programme\Steganos Security Suite 5\steganos5.exe" [2003-03-18 16:34 913408] "SSS5SAFE"="C:\Programme\Steganos Security Suite 5\safe.exe" [2003-03-18 16:34 180224] "SSS5SPM"="C:\Programme\Steganos Security Suite 5\spm.exe" [2003-03-18 16:34 147456] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 relog_ap [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe "updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "TimeSync"=C:\Eigene Dateien\Programme zum Installieren\TimeSync\TimeSync.exe /t "NvCplDaemon"=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize "nwiz"=nwiz.exe /install "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Programme\\IEPro\\MiniDM.exe"= "%windir%\\system32\\sessmgr.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2007-09-25 20:40] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-25 20:40] R1 kbd;kbd;C:\WINDOWS\system32\drivers\kbd.sys [2008-03-08 13:02] R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2004-04-28 09:03] R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2004-04-28 08:58] R2 SLEE_401_DRIVER;Steganos Live Encryption Engine (Version 401) [Driver];C:\WINDOWS\System32\drivers\SLEE401.sys [2002-02-22 18:22] R2 SLEE_401_SERVICE;Steganos Live Encryption Engine (Version 401) [Service];C:\WINDOWS\System32\SLEE401.exe [2002-02-22 18:24] R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-11-24 02:00] R3 Maestro;ESS Maestro2E-Audiotreiber (WDM);C:\WINDOWS\system32\drivers\essm2e.sys [2004-08-03 22:32] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2004-04-28 09:03] S2 KBPLMJMO;KBPLMJMO;C:\WINDOWS\System32\kbplmjmo.kfo [] S3 SFC4;SFC4;C:\WINDOWS\system32\drivers\SFC4.sys [1998-09-16 09:07] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] tapisrv REG_MULTI_SZ Tapisrv . Inhalt des "geplante Tasks" Ordners "2008-03-21 16:57:08 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-27 19:19:58 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KBPLMJMO] "ImagePath"="\??\C:\WINDOWS\System32\kbplmjmo.kfo" . ------------------------ Other Running Processes ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-27 19:23:18 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-27 18:23:14 12 Verzeichnis(se), 6,307,258,368 Bytes frei 15 Verzeichnis(se), 6,217,723,904 Bytes frei . 2008-03-24 16:09:53 --- E O F --- ------------------------------------------------- Hoffentlich helfen diese Angaben. Gruß - Manfred:nixda: |
Wen es noch interessiert: Ich habe mit " Spybot " den Rechner scannen lassen, den Trojaner bzw. die infizierten Datein gefunden und entfernen lassen.:snyper: Nach mehrmaligen Rechnerneustart und Prüfung durch Antivir ist der Trojaner verschwunden.:) Für allen guten Ratschläge: :party: Manni |
Es ist noch nicht vorbei, das Combofix zeigt immer noch Einträge die auf Malware hindeuten und mit großer Sicherheit nicht durch Spybot oder Antivir gelöscht wurden: OTMoveIt by OldTimer Folgendes Tool herunterladen -> OTMoveIt2.exe --> Starte nun die OTMoveIt.exe --> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren: Zitat:
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein! Malwarebytes' Anti-Malware Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde: Download von Malwarebytes' Anti-Malware [/CENTER] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board