Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Antivir-Fund in "C:\Windows\myproc.dll" und "C:\Windows\security\services.exe" (https://www.trojaner-board.de/72289-antivir-fund-c-windows-myproc-dll-c-windows-security-services-exe.html)

Klafra 22.04.2009 10:02
Antivir-Fund in "C:\Windows\myproc.dll" und "C:\Windows\security\services.exe"
 
Einen schönen guten Tag Trojaner-Community,
Antivir meldet mir seit heute 2 Fude, welche ich auch nicht löschen kann:

"C:Windows\myproc.dll enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Jaan.K"

und

"C:Windows/security/services.exe enthält ein ERkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Jaan.L.1"


Ich habe diese beiden Dateien mal bei virustotal hochgeladen:

Analyse von myproc.dll

Analyse von services.exe


Hier noch die Hijachthis log
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:05:25, on 22.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\PenScope\PenScope\TPPOLL10.EXE
C:\WINDOWS\security\services.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\igfxext.exe
C:\DOKUME~1\***\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TPPOLL10] C:\Programme\PenScope\PenScope\TPPOLL10.EXE
O4 - HKLM\..\Run: [services] C:\WINDOWS\security\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: ABBYY FineReader 9.0-Lizenzierungsdienst (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Update Service (gupdate1c985e7bfa94190) (gupdate1c985e7bfa94190) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 6638 bytes
Kann mir jemand helfen wie ich das ganze wieder hinbekomme? Wäre sehr Dankbar:daumenhoc

ps.: Wenn noch irgendwelche Informationen benötigt werden, dann sagt mir bitte bescheid.

Angel21 22.04.2009 11:59
Lasse mal Malwarebytes drüberlaufen und stelle das Ergebnis hier rein.

Klafra 22.04.2009 13:22
Alles klar, hier kommt der Bericht

Code:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2024
Windows 5.1.2600 Service Pack 3

22.04.2009 14:02:24
mbam-log-2009-04-22 (14-02-24).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 173759
Laufzeit: 17 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\AntiSpywareXP2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\data (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\AntiSpywareXP2009\htmlayout.dll (Rogue.AntivirusPro2009) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\AntiSpywareXP2009.exe (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\pthreadVC2.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Uninstall.exe (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\AntiSpywareXP2009.cfg (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcm80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcp80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcr80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\data\daily.cvd (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wrdwn2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wrdwn4 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wrdwn5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wrdwn7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Die service.exe und die myproc.dll sind nun gelöscht und auch nach einem Neustart nicht wiedergekommen.
Kann das schon die Lösung gewesen sein???*freu*:)

Angel21 22.04.2009 13:23
Nicht zu übereifrig, scanne nochmal mit einem Fullscan dein System mit Superantispyware durch.

Klafra 22.04.2009 14:43
Ok, also ein Komplettscan:

Code:
SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 04/22/2009 at 03:29 PM

Application Version : 4.26.1000

Core Rules Database Version : 3857
Trace Rules Database Version: 1809

Scan type      : Complete Scan
Total Scan Time : 00:45:24

Memory items scanned      : 506
Memory threats detected  : 0
Registry items scanned    : 4240
Registry threats detected : 0
File items scanned        : 73607
File threats detected    : 33

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\***\Cookies\***@***.txt
        C:\Dokumente und Einstellungen\***\Cookies\***@fastclick[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@a3.adserver01[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@***.txt
        C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@***.txt
        C:\Dokumente und Einstellungen\***\Cookies\***@statse.webtrendslive[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@apmebf[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@2o7[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@imrworldwide[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@atwola[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@atwola[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@2o7[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[3].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@sevenoneintermedia.112.2o7[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@apmebf[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@www.etracker[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@a6.adserver01[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@traffictrack[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@komtrack[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@a3.adserver01[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@ad.zanox[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@fastclick[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@zanox[1].txt

Adware.Zango/SmartShopper
        C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\INSTALLER.EXE
Danke übrigens für dein Engagement, Angel


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19