|
verdächtige scr/ jpg per icq Hallo, ich habe gestern über icq eine *.scr und *.jpg von einer Person aus meiner Kontaktliste bekommen und sie angenommen, da ich diese Person gut kannte und mir nichts Verdächtiges ins Auge fiel. Die Dateien hatten die Bezeichnung DSC092008.scr und DSC092008.jpg. Firewall und AntiVir haben keine Meldungen angezeigt. Es hat sich jedoch herausgestellt, dass die Dateien nicht von der Person stammen und an viele andere in der Kontaktliste gesendet worden. Was mich verunsichert ist, dass ein Virus oder Trojaner verschickt wurde, aber AntiVir keine Meldung anzeigt. Ich habe von Viren und Ähnlichem absolut keine Ahnung und bin total überfordert, weil ich keine weiteren Auffälligkeiten bemerkt habe, aber sicher bin, dass ich gestern etwas virenartiges angenommen habe. Außerdem habe ich mich etwas belesen und schon mal mit HijackThis einen logfile erstellt. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:49:44, on 11.10.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16681) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe C:\Windows\OEM02Mon.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Windows\System32\rundll32.exe C:\Program Files\ScanSoft\OmniPageSE4\OpWareSE4.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\ICQ6\ICQ.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [{AF8521DF-2211-D6B2-B0C4-4C7A72CB37DA}] C:\Users\******\AppData\Roaming\avgmt.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe -- End of file - 8207 bytes Eine exe ist mir aufgefallen, mit der ich nichts anfangen konnte (avgmt.exe). Könnt ihr mir sagen, was das ist? Kann mir jmd bei meinem Problem helfen, da ich wirklich nicht viel Ahnung habe? Ich bin dankbar für jeden Tipp und hoffe, dass meine Sorge Anklang findet. Vielen, vielen Dank schon mal. Grüße Nestea80 |
Hallo, da mir noch niemand auf meinen Eintrag geantwortet hat, erlaube ich mir nochmals die Anfrage, ob mir denn nicht irgendwer helfen kann?! Falls ich einen Fehler gemacht habe, was das Posten betrifft, teilt es mir bitte mit. Bitte, bitte helft mir!!! nestea80 |
Hi nestea80 ich werde dir helfen dein vllt problem in den griff zu bekommen :D Lade folgende Datei/Dateien bei Virustotal hoch und poste den Vollständigen bericht mit MD5 Hash usw. Lasse Dabei auch versteckte Ordner und Dateien anzeigen! Zitat:
Scanne mit Malwarebytes Antimalware, Lösche alles was gefunden wird und poste den Vollständigen bericht, auch wenn nichts gefunden wird! Zusätzlich scannst du noch mit SuperAntiSpyware und postest auch dessen bericht! Nun Scannen wir noch nach Rootkits! Deaktiviere Während des Rootkitscanns alle Virenscanner, Firewalls und programme! Poste die logs auch wenn deiner Ansichtnach nichts gefunden wurde! Poste Alle Berichte bzw. Logs in einem Code (das # Symbol klicken nicht auf der tastatur!) 1.MBR Scannen lassen Lade dir bitte mbr detector herunter und führe ihn aus. Poste das Ergebnis dann hier, die log datei liegt im gleichen ordner in dem du die mbr.exe gepeichert hast! 2.Gmer scannen lassen Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop. Starte gmer.exe. Alle anderen Programme sollen geschlossen sein. Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft. Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. Füge das Log aus der Zwischenablage in deine Antwort hier ein. 3.Blacklight scannen lassen Lade dir Blackligt herunter und führe ihn aus. Poste das Ergebnis dann hier. 4. Erstelle noch ein Hijackthis logfile und poste es in einem Code! |
Ich bin dir wirklich dankbar, dass du mir helfen möchtest, nur leider gibt es schon beim ersten Schritt ein Problem hehe... als ich diese avgmt.exe gefunden habe, habe ich sie gleich gelöscht... upsiii... Wie kann ich nun weiter verfahren? |
Ähm... den Vollständigen bericht mit MD5 hash.... mit nicht nur! Schick mir einfach mal den link zu dem ergebniss das macht das ganze für uns beide einfacher :D Gelöscht ? Mit Antivir oder so? Dann ist sie wahrscheinlich noch da :D Schau ma nach und lasse alle dateien anzeigen wie oben beschrieben! |
so hier is der link, aber wie gesagt für die searchfilterhost.exe weil avgmt.exe wurde bereits gelöscht. Tut mir leid, falls das die Suche erschwert. http://www.virustotal.com/de/analisi...240691faf36d84 |
Du sagtest sie sei dir aufgefallen... nicht das ein Scanner oder so was gefunden hat kannst du mal genau erklären was du mit der datei angestellt hast? |
naja sie ist mir aufgefallen und dann hab ich sie mal gelöscht. Aber mein Virenscanner hatte nichts gefunden, als die Datei noch auf meinem PC war. Ich hab mich wie gesagt selbst auf die Suche nach dem Wurm oder was auch immer gemacht. |
Ist die datei Vllt noch im Papierkorb? Wenn nicht mache einfach weiter nach der anleitung nur eben ohne hochladen der einen Datei! |
Zitat:
Hier sind die Berichte von Malwarebytes Anitmalware und superantispyware Malwarebytes: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1270 Windows 6.0.6001 Service Pack 1 15.10.2008 00:26:44 mbam-log-2008-10-15 (00-26-44).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 150599 Laufzeit: 1 hour(s), 44 minute(s), 12 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) SuperAntiSpyware: SUPERAntiSpyware Scan Log SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware! Generated 10/16/2008 at 07:44 PM Application Version : 4.21.1004 Core Rules Database Version : 3599 Trace Rules Database Version: 1585 Scan type : Complete Scan Total Scan Time : 00:59:43 Memory items scanned : 648 Memory threats detected : 0 Registry items scanned : 5777 Registry threats detected : 0 File items scanned : 120960 File threats detected : 22 Adware.Tracking Cookie C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@apmebf[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@fastclick[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@windowsmedia[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.zanox[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@doubleclick[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ads.pointroll[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@2o7[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@weborama[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@zbox.zanox[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.71i[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@serving-sys[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.yieldmanager[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@a6.adserver01[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adserver.71i[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atdmt[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@perf.overture[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@de2.komtrack[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atwola[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tradedoubler[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@bs.serving-sys[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ads.heias[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adfarm1.adition[2].txt Hilft das erstmal??? Vielen Dank nochmal für deine Bemühungen :) |
Malwarebytes hat nichts gefunden und SuperAntispyware auch nichts weltbewegendes! Du scheinst clean zu sein! Aber das kann ich erst nach dem rootkit scann 100%tig sagen! |
hallo, sorry dass ich mich so lang nich gemeldet habe. ich hab momentan einfach keine zeit. ich hab mich dazu entschieden am wochenende meinen rechner zu formatieren und danke dir nochmal ganz sehr, dass du mir geholfen hast. vielen vielen lieben dank :) liebe grüße nestea80 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:05 Uhr. |
Copyright ©2000-2024, Trojaner-Board