Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. (https://www.trojaner-board.de/57407-hallo-newbie-braucht-ebennfalls-virus-alert-hilfe.html)

JuuuHuuu 06.08.2008 22:30
Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.
 
hallo,
ich habe mir leider ebenfalls diesen plagegeist eingefangen, wie er schon mehfach beschrieben wurde (VIRUS ALERT! neben der uhr, pop-ups taskmanager und regedit deaktiviert, startmenü fehlt, usw eingefangen).
folgendes habe ich schon gemacht:
-mit clearprog aufgeräumt

-mit spybot gescannt, und was gefunden wurde entfernt.
Code:
Smitfraud-C.gp: [SBI $901C9C72]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url

Smitfraud-C.gp: [SBI $A66DB21C]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url

Smitfraud-C.gp: [SBI $472076AC]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url

Smitfraud-C.gp: [SBI $D1117B94]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Desktop\Spyware&Malware Protection.url

Smitfraud-C.gp: [SBI $C4C37DA6]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Desktop\Error Cleaner.url

Microsoft.Windows.Explorer: [SBI $4272AA01] Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders

Microsoft.Windows.System: [SBI $8E2F7540] Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCpl

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.Windows.System: [SBI $38594624] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms

NNC.MGRS: [SBI $D7CE2F4E] IE Startseite (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERSS-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Internet Explorer\Main\Start Page=about:blank

Zlob.Downloader.rid: [SBI $A36DC7FF]  Bibliothek (Datei, nothing done)
  C:\WINDOWS\bgrqfetx.dll

Zlob.Downloader.vcd: [SBI $3A7819FB] Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo

Zlob.Downloader.bs: [SBI $0D9D15D5]  Bibliothek (Datei, nothing done)
  C:\WINDOWS\xokvrpwg.dll

Zlob.Downloader.vcd: [SBI $E018B59A]  Bibliothek (Datei, nothing done)
  C:\WINDOWS\tfnslopk.dll


--- Spybot - Search & Destroy version: 1.5.2  (build: 20080128) ---

2008-01-28 blindman.exe (1.0.0.7)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-01-28 SDMain.exe (1.0.0.5)
2008-01-28 SDUpdate.exe (1.0.8.8)
2008-01-28 SDWinSec.exe (1.0.0.11)
2008-01-28 SpybotSD.exe (1.5.2.20)
2008-01-28 TeaTimer.exe (1.5.2.16)
2006-09-08 unins000.exe (51.41.0.0)
2008-04-07 unins001.exe (51.49.0.0)
2008-01-28 Update.exe (1.4.0.6)
2008-01-28 advcheck.dll (1.5.4.5)
2007-04-02 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2007-11-17 DelZip179.dll (1.79.7.4)
2008-01-28 SDFiles.dll (1.5.1.19)
2008-01-28 SDHelper.dll (1.5.0.11)
2008-01-28 Tools.dll (2.1.3.3)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2008-06-17 Includes\Adware.sbi (*)
2008-06-18 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-06-03 Includes\Dialer.sbi (*)
2008-06-24 Includes\DialerC.sbi (*)
2008-06-03 Includes\HeavyDuty.sbi (*)
2008-06-16 Includes\Hijackers.sbi (*)
2008-06-17 Includes\HijackersC.sbi (*)
2008-06-25 Includes\Keyloggers.sbi (*)
2008-06-24 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-06-24 Includes\Malware.sbi (*)
2008-06-24 Includes\MalwareC.sbi (*)
2008-06-17 Includes\PUPS.sbi (*)
2008-06-24 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-10 Includes\Security.sbi (*)
2008-06-18 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-06-17 Includes\Spyware.sbi (*)
2008-06-17 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-06-24 Includes\Trojans.sbi (*)
2008-06-25 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
-hijackthis (noch in der version v1991) laufen lassen:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 16:08: VIRUS ALERT!, on 05.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Mozilla Firefox_2.0_RC1\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\hijackthis_198\HJT1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: h**p://*.aolcdn.com
O15 - Trusted Zone: h**p://*.shoutcast.com
O15 - Trusted Zone: h**p://*.winamp.com
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: tfnslopk - {42484978-AB82-4FD8-9113-1C8016D942A6} - C:\WINDOWS\tfnslopk.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
gefixt hatte ich:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O21 - SSODL: tfnslopk - {42484978-AB82-4FD8-9113-1C8016D942A6} - C:\WINDOWS\tfnslopk.dll

-ich habe dann über regedit (ging dann schonmal wieder) den taskmanager und die ie-stasrtseite auf about:blank gesetzt
anm: ich surfe aber immer über firefox.

-das startmenü habe ich mir über taskleiste-eigenschaften wieder zurechtgebaut.

-ich habe mit kaspersky 7 schonmal gescannt und was gefunden wurde entfernt
Code:
Arbeitsplatz untersuchen : abgeschlossen
----------------------------------------
Untersucht:        643950
Gefunden:        3
Nicht bearbeitet:        0
Start:        05.08.2008 17:35: VIRUS ALERT!
Dauer:        17:53:35
Ende:        06.08.2008 11:29: VIRUS ALERT!

Gefunden
--------
Status        Objekt
------        ------
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd        Datei: C:\*ABGEKÜRZT*\4-SmitfraudFix\SmitfraudFix.zip/SmitfraudFix/swsc.exe//UPX
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd        Datei: C:\*ABGEKÜRZT*\4-SmitfraudFix\SmitfraudFix\swsc.exe//UPX
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd        Datei: C:\WINDOWS\system32\swsc.exe//UPX
anm: überall dieser blöde kommentar VIRUS ALERT!

dann habe ich ccleaner aktualisiert, sowie hijackthis .

jetzt lass ich mal ccleaner laufen, und hijackthis in der neuen version.
dann poste ich das ergebnis.

anm: ich halte mein system möglichst up-to-date, es werden alle windows-updates installiert (ausser sp3 - habe da von einigen problemen gehört und ich mich voher schlau machen wollte), ich habe auch unnötige dienst weitegehends abgeschaltet - hatte diensteabschalten schon früher einmal runtergeladen.
ich habe auch schonmal secuniaPSI und combofix runtergeladen - aber noch nicht gestartet - ich wolllte das lieber nicht auf eigeninitative machen - bzw mich von einem fachmann leiten lassen.
also ich wäre sehr dankbar, wenn sich einer meiner annehmen würde.
vielen dank im vorraus.

JuuuHuuu 06.08.2008 23:47
huch...jetzt hab ich das thema hoffentlich nicht im falschen forum erstellt?
wenn das besser in das forum Hijacker / HiJackThis Logs posten einstellen sollte, dann bitte ich um "administratives verschieben" - danke.

so, ich habe nun erst ccleaner nach anleitung reinigen lassen und dann hijackthis in der letzten version laufen lassen.
ich bin etwas geschockt, dass sich wieder so viele einträge eingenistet haben.
eigentlich war ich immer ganz zufrieden, da ich immer recht wenige einträge hatte (siehe log oben)

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:19: VIRUS ALERT!, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\VMware\VMware Player\hqtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: h**p://*.aolcdn.com
O15 - Trusted Zone: h**p://*.shoutcast.com
O15 - Trusted Zone: h**p://*.winamp.com
O21 - SSODL: tfnslopk - {5D1E73FF-D7FB-4C9A-B737-5D38BA0719FB} - (no file)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 5160 bytes
die logfileauswertung ergibt schonmal folgende einträge zum fixen:
Code:
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'Default user')
und mit fragezeichen:
Code:
O21 - SSODL: tfnslopk - {5D1E73FF-D7FB-4C9A-B737-5D38BA0719FB} - (no file)
O24 - Desktop Component 0: (no name) - (no file)
ich denke man kann doch wesentlich mehr rausschmeissen, oder?
ich warte jetzt aber ersteinmal auf expertenantworten...
vielen dank vorab.
viele grüße.

ups, ich wollte vor einstellung des textes eine sicherung auf meinem pc speichern (in einer text-datei) und auf einmal kann ich keinen explorer mehr öffnen - also keine taskleiste, kein startmenü, kann nur noch den taskmanager aufrufen, aber mein geöffneter ordner ist weg, sowie das geöffnete hijackthis sowie dessen log... - seltsam (schei...)...

Silent sharK 06.08.2008 23:54
Hallo,
suche bitte die csdata32.exe per Suchfunktion (Rechtsklick auf Start => Suchen.../auch versteckte Dateien durchsuchen!)
damit du weißt, wo sich die Datei befindet.
Wenn du sie gefunden hast, lade sie bitte bei Virustotal hoch und poste das Analysenergebnis.

Danach folge bitte der Anleitung von MalwareBytes, Link in meiner Signatur.

mfg

JuuuHuuu 07.08.2008 00:40
hallo,
danke schonmal für deine schnelle antwort.
leider kann ich die datei nicht finden.
ich habe, wie in einer anleitung mal beschrieben wurde, die suchoptionen
-systemordner durchsuchen
-versteckte elemente durchsuchen
-unterordner durchsuchen
ausgewählt.

allerdings wird wenn ich wie beschrieben mit start - suche - "suchen in" die partition c: und d: nicht mehr angezeigt - nur noch die partition e:
ich habe dann über explorer c: die suche gestartet, das gleiche ebenfalls mit d: - das sollte doch dann auch funktionieren, oder?

die datei ist aber nicht zu finden...
ich habe mal im netzt nachgeschaut - demnach sollte sie in c:\windows\system32 liegen - also will ich nachschauen und öffne c:\windows - promt bekomme ich von kav7 die meldung:
trojanisches programm
trojan.win32.vapsup.jwx
datei:
c:\windows\eovn.exe

das scheint also ein übeltäter zu sein, oder?

Silent sharK 07.08.2008 00:43
Dann lade die c:\windows\eovn.exe bei Virustotal hoch und dann danach MalwareBytes (Antivirenwächter derweil deaktivieren!).

Oh gott, bei Dir ändern sich Warnmeldungen über "Trojaner". :D

JuuuHuuu 07.08.2008 01:05
virustotal wirft folgene meldungen raus:
Code:
Datei eovn.exe empfangen 2008.08.07 01:48:53 (CET)

Ergebnis: 14/36 (38.89%)
Antivirus                Version        letzte aktualisierung        Ergebnis
AhnLab-V3                2008.8.7.0        2008.08.06                -
AntiVir                        7.8.1.19        2008.08.06                ADSPY/AdSpy.Gen
Authentium                5.1.0.4                2008.08.07                -
Avast                        4.8.1195.0        2008.08.06                -
AVG                        8.0.0.156        2008.08.06                Generic3.KRE
BitDefender                7.2                2008.08.06                Trojan.Zlob.CRS
CAT-QuickHeal                9.50                2008.08.06                -
ClamAV                        0.93.1                2008.08.06                -
DrWeb                        4.44.0.09170        2008.08.06                -
eSafe                        7.0.17.0        2008.08.06                -
eTrust-Vet                31.6.6016        2008.08.06                Win32/Pripecs!generic
Ewido                        4.0                2008.08.06                -
F-Prot                        4.4.4.56        2008.08.06                -
F-Secure                7.60.13501.0        2008.08.06                -
Fortinet                3.14.0.0        2008.08.06                -
GData                        2.0.7306.1023        2008.08.06                Trojan.Win32.Vapsup.jwx
Ikarus                        T3.1.1.34.0        2008.08.06                Virus.Win32.Vapsup.GV
K7AntiVirus                7.10.405        2008.08.06                -
Kaspersky                7.0.0.125        2008.08.07                Trojan.Win32.Vapsup.jwx
McAfee                        5355                2008.08.06                -
Microsoft                1.3807                2008.08.07                Trojan:Win32/Zlob.gen!Q
NOD32v2                        3333                2008.08.06                -
Norman                        5.80.02                2008.08.06                W32/DLoader.ITNI
Panda                        9.0.0.4                2008.08.06                -
PCTools                        4.4.2.0                2008.08.06                -
Prevx1                        V2                2008.08.07                Malicious Software
Rising                        20.56.22.00        2008.08.06                -
Sophos                        4.31.0                2008.08.07                -
Sunbelt                        3.1.1537.1        2008.08.06                Adware.NetAdware.Gen
Symantec                10                2008.08.07                Downloader.Zlob!gen.3
TheHacker                6.2.96.393        2008.08.04                -
TrendMicro                8.700.0.1004        2008.08.06                -
VBA32                        3.12.8.2        2008.08.06                suspected of Downloader.Zlob.8 (paranoid heuristics)
ViRobot                        2008.8.6.1326        2008.08.06                -
VirusBuster                4.5.11.0        2008.08.06                -
Webwasher-Gateway        6.6.2                2008.08.06                Ad-Spyware.AdSpy.Gen

weitere Informationen
File size: 139264 bytes
MD5...: 901b10d711c09477d173a326ba71bbc8
SHA1..: 1116e2ab10d12219c998b62e29346dd8bcf70bbe
SHA256: 0e560f5760a1a1e6df66f6f27a6465be2a197044af7d4984f80788ff05e5611a
SHA512: 2aeb8a4480e6873ebfd2f53ce76058d59ba89f7c266038eace160bb448783b74
ef95f57ad4246525cb51ad76f5c23bd19049f06aa6cd2a651d1a0b231bc060ee
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40bea8
timedatestamp.....: 0x4897c962 (Tue Aug 05 03:30:42 2008)
machinetype.......: 0x14c (I386)

frage: was meinst du mit "oh gott, bei dir ändern sich warnmeldungen über "Trojaner""
habe ich was falsch gemacht?
danke nochmals für die hilfe, und ich lass jetzt mal malwarebytes arbeiten...

Silent sharK 07.08.2008 01:08
Zitat:
frage: was meinst du mit "oh gott, bei dir ändern sich warnmeldungen über "Trojaner""
habe ich was falsch gemacht?
Nein nein, ich beneide dich in Sachen dessen nur nicht. ;)

JuuuHuuu 07.08.2008 11:29
soooo, nun habe ich schonmal was abgearbeitet:
malwarebytes hat was gefunden, was ich dann habe von malwarebytes löschen lassen:
Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1030
Windows 5.1.2600 Service Pack 2

07:39:15 07.08.2008
mbam-log-8-7-2008 (07-39-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 182526
Laufzeit: 1 hour(s), 48 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 2
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SecuriSoft SARL (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\tfnslopk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55372-OEM-0011903-00126) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecuriSoft SARL (Rogue.WinSpywareProtect) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecuriSoft SARL\WinSpywareProtect (Rogue.WinSpywareProtect) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecuriSoft SARL\WinSpywareProtect\wspwprtct.exe (Rogue.WSPwprtct) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP342\A0114126.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\eovn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\lnvegaow.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
danach war schonmal diese blöde VIRUS ALERT! weg, und meine laufwerke wieder auf'm arbeitsplatz sichtbar.

ich habe dann nochmal malwarebyte laufen lassen, und er hat dann auch nichts mehr gefunden.

hijackthis hat dann folgendes rausgeschmissen:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:57:25, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\VMware\VMware Player\hqtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\HiJackThis\HijackThis.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: h**p://*.aolcdn.com
O15 - Trusted Zone: h**p://*.shoutcast.com
O15 - Trusted Zone: h**p://*.winamp.com
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 5115 bytes
durch logifleauswertung habe ich dann schonmal gefixt (sind aber nach neustart noch einige wiederaufetaucht):
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:13:46, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\HiJackThis\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [update run dos] logon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [update run dos] logon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: h**p://*.aolcdn.com
O15 - Trusted Zone: h**p://*.shoutcast.com
O15 - Trusted Zone: h**p://*.winamp.com
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 4234 bytes
wobei diese hier:
Code:
O4 - HKUS\S-1-5-18\..\Run: [update run dos] logon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [update run dos] logon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'Default user')
NEU! aufgetaucht sind!

ich habe dann noch über msconfig ein paar sachen abgeschaltet, und komme nun auf folgendes logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55:46, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\HiJackThis\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [update run dos] logon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [update run dos] logon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: h**p://*.aolcdn.com
O15 - Trusted Zone: h**p://*.shoutcast.com
O15 - Trusted Zone: h**p://*.winamp.com
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 2773 bytes
nun bräuchte ich hilfe, was ich jetzt machen soll.
vielen dank vorab wiedermal.

p.s: der eintrag O24 ist auch komisch, was sollte ich damit machen?

Silent sharK 07.08.2008 12:58
Es sieht schlecht aus,
Zitat:
O4 - HKUS\S-1-5-18\..\Run: [update run dos] logon.exe (User 'SYSTEM')
SdBot Wurm
Zitat:
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'SYSTEM')
Andere Bot-Wurm Variante.

Es wäre wichtig, diese Dateien zu finden.
Wenn sie da sind, ist der Fall klar: Neuaufsetzen

JuuuHuuu 07.08.2008 14:05
hallo,
ohh, das hört sich ja schlecht an.
ich hatte die 2 teile mal probeweise mit hijackthis gefixt.
nun habe ich deine antwort erst nachher gelesen.
habe nach den dateien gesucht, aber sie nicht gefunden.

für logon als suche finde ich nur winlogon unter
c:\windows\$ntservicepackuninstall$
c:\windows\system 32
c:\windows\servicepackfiles\i386
c:\windows\system 32\dllcache

sowie chglogon unter
c:\windows\system 32\dllcache

für svcshost.exe finde ich
garnichts.

wenn ich jetzt hijackthis laufen lasse, kommen auch keine neuen einträge drin vor
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:58:24, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HiJackThis\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: http://*.aolcdn.com
O15 - Trusted Zone: http://*.shoutcast.com
O15 - Trusted Zone: http://*.winamp.com
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 2518 bytes
halt nur noch dieses
O24 - Desktop Component 0: (no name) - (no file)
oder ist es mit dem fixen der beiden o.g. auffälligen einträge noch nicht getan?

könnte man nicht noch etwas mit combofix reissen?
neu aufsetzten wäre für mich im moment nicht möglich, da ich leider im moment "gesundheitliche verpflichtungen" habe.
danke weiterhin für die hilfe.

Silent sharK 07.08.2008 14:15
Ok, dann arbeite die folgenden Schritte hier ab.
Wenn sowas drauf ist, finden wir es auch:

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Zu deinen Fragen:
Zitat:
O24 - Desktop Component 0: (no name) - (no file)
Das kannst du fixen.
Zitat:
könnte man nicht noch etwas mit combofix reissen?
Dieses Tool ist nur von Kompetenzlern, Mod's und Admin's berechtigt, zu empfehlen, tut mir leid.
Aber es ist auch nicht notwendig.
Zitat:
neu aufsetzten wäre für mich im moment nicht möglich, da ich leider im moment "gesundheitliche verpflichtungen" habe.
Wenn die betroffenen Dateien nicht auf deinem Rechner sind, musst du das auch nicht zwangsweise.

JuuuHuuu 08.08.2008 18:02
so,
nachdem ich nach heftigen gewitter den pc vom netzt getrennt hatte, kann ich jetzt wieder weiterarbeiten.
ich habe also deine anweisungen befolgt.
leider??? ist nichts gefunden worden.

hier die logs: fsbl.exe
Code:
08/07/08 15:43:38 [Info]: BlackLight Engine 1.0.70 initialized
08/07/08 15:43:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/08 15:43:38 [Note]: 7019 4
08/07/08 15:43:38 [Note]: 7005 0
08/07/08 15:44:31 [Note]: 7006 0
08/07/08 15:44:32 [Note]: 7011 328
08/07/08 15:44:32 [Note]: 7035 0
08/07/08 15:44:32 [Note]: 7026 0
08/07/08 15:44:32 [Note]: 7026 0
08/07/08 15:44:37 [Note]: FSRAW library version 1.7.1024
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 17:24:33 [Note]: 7007 0
Navilog1
Code:
Search Navipromo version 3.6.1 began on 07.08.2008 at 17:28:19,28

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "* *"

Updated on 19.07.2008 at 20h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\* *\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Besitzer\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Gast\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Internet\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\* *\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Gast\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Internet\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\* *\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\Gast\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\Internet\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No Navipromo file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\* *\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Gast\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Internet\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\* *\lokale~1\anwend~1" :


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :


* In "C:\DOKUME~1\Gast\lokale~1\anwend~1" :


* In "C:\DOKUME~1\Internet\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 07.08.2008 at 17:38:56,23 ***
ist das jetzt gut oder schlecht das nichts gefunden wurde?
h h ho (zitter) hoffentlich n n ni nicht...


p.s.: O24 - Desktop Component 0: (no name) - (no file) kann ich mit hijackthis nicht fixen.

Silent sharK 08.08.2008 19:06
Sieht gut aus, versuch den O24-Eintrag im Safe Mode zu fixen.

JuuuHuuu 09.08.2008 17:16
hallo,
ich bekomme das ding auch im abgesichertem modus nicht gefixt...

Silent sharK 09.08.2008 17:20
Naja egal, tragisch ist das nicht.
Nur ein unnötiger (unwirksamer) Eintrag.

Wenn er dich nicht stört, dann belassen wir das ganze. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:20 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131