|
Trojaner BAT/REG Zapchast Hallo, wir haben seit gestern die Meldung unseres Anti Virs mit folgendem Text C:\a.bat Trojaner: BAT/REG.Zapchast Ich lösche ihn dann auch etc. aber es passiert leider gar nichts. Habe ein hijackthis.log erstellt. Vielleicht kann einer mal von euch drüber schauen weil ich nicht wirklich davon ahnung habe und mir nen tipp geben was ich machen soll (bitte aber für blondinen verständlich) Danke!! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:24:59, on 14.07.2009 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16851) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\NWB\SteuerXpert\IPview.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\OpenOffice.org 3\program\soffice.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\OpenOffice.org 3\program\soffice.bin C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\nod64.exe C:\Windows\system32\SearchFilterHost.exe C:\Users\Silke\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [SISSIBOT] service.exe O4 - HKLM\..\Run: [Nod32 Service] nod64.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\RunServices: [SISSIBOT] service.exe O4 - HKLM\..\RunServices: [Nod32 Service] nod64.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [NWB_steuerXpert] C:\Program Files\NWB\SteuerXpert\IPview.exe -silent="1" O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SISSIBOT] service.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe -- End of file - 5307 bytes |
hi Dzubbe und :hallo: Ihr habt euch die Seuche hoch 10 ins Haus geholt: Code: O4 - HKLM\..\Run: [SISSIBOT] service.exenod64.exe --> ThreatExpert Report: Worm.Akbot.Gen, Backdoor.Win32.Rbot.gen, W32.Spybot.Worm, W32/Sdbot.worm.gen.g.. Der hats in sich! Zum SISSIBOT kann ich nichts genaues finden, aber das, was mit der "service.exe" in Verbindung gebracht wird, ist auch nicht prickelnd. Hier die Suchergebnisse: ThreatExpert Reports Versuche, die Datei Code: C:\Windows\service.exearbeite bitte nochmal folgende Liste ab Punkte 2 ab (ohne HiJackThis): http://www.trojaner-board.de/69886-a...-beachten.html Bitte alle anfallenden Logfiles posten. Gruß Handball10 |
Hi, vielen Dank für Deine schnelle Antwort. Habe das Programm Malwarebytes und den Cleaner laufen lassen. Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2426 Windows 6.0.6000 14.07.2009 15:13:04 mbam-log-2009-07-14 (15-13-04).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 161853 Laufzeit: 30 minute(s), 24 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: C:\Windows\System32\nod64.exe (Backdoor.IRCBot) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nod32 service (Backdoor.IRCBot) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\nod32 service (Backdoor.IRCBot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\nod32 service (Backdoor.IRCBot) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Users\Silke\AppData\Local\Mozilla\Firefox\Profiles\69104fh9.default\Cache\5558608Cd01 (Rogue.Installer) -> Quarantined and deleted successfully. C:\Windows\System32\nod64.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully. Ist das nun schon besser? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:16:13, on 14.07.2009 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16851) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\NWB\SteuerXpert\IPview.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\OpenOffice.org 3\program\soffice.exe C:\Program Files\OpenOffice.org 3\program\soffice.bin C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\Mozilla Thunderbird\thunderbird.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\NOTEPAD.EXE C:\Users\Silke\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [SISSIBOT] service.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\RunServices: [SISSIBOT] service.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [NWB_steuerXpert] C:\Program Files\NWB\SteuerXpert\IPview.exe -silent="1" O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SISSIBOT] service.exe O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'NETZWERKDIENST') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe -- End of file - 5079 bytes Gruß Dzubbe |
Hi Dzubbe, das was MalwareBytes gefunden hat ist nicht gut: Code: C:\Windows\System32\nod64.exe (Backdoor.IRCBot)Denn der hier: Code: O4 - HKCU\..\Run: [SISSIBOT] service.exeLade die Datei bei VirusTotal - Kostenloser online Viren- und Malwarescanner hoch und poste das Ergebnis. Gruß Handball10 |
Guten Morgen, nun bekomme ich nach all dem Reinigen diese Meldungen: Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2426 Windows 6.0.6000 15.07.2009 10:37:28 mbam-log-2009-07-15 (10-37-28).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 160010 Laufzeit: 28 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:38:38, on 15.07.2009 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16851) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\NWB\SteuerXpert\IPview.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\OpenOffice.org 3\program\soffice.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\OpenOffice.org 3\program\soffice.bin C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Windows\system32\NOTEPAD.EXE C:\Program Files\Mozilla Thunderbird\thunderbird.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Users\Silke\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSoft.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [NWB_steuerXpert] C:\Program Files\NWB\SteuerXpert\IPview.exe -silent="1" O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'NETZWERKDIENST') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe -- End of file - 4790 bytes Ist das nun schon besser? Ich kann nämlich nun keine Datei finden, die du angegeben hast, zum hochladen. Wir setzten den Rechner heut nachmittag aber neu auf. Vertrauen kann man dem ganzen wohl nicht mehr! Danke aber für deine Unterstützung! Gruß Dzubbe |
moin Dzubbe, bevor ihr den Rechner neuaufsetzt: http://www.trojaner-board.de/54791-a...ner-board.html Versuche bitte nochmal, die Datei Code: C:\Windows\service.exeKomischerweise taucht sie im HJT-Logfile nicht mehr auf. Ob sie gelöscht wurde, kann ich dir nicht sagen, jedenfalls wurde sie von MalwareBytes nicht erkannt... Jedenfalls interessiert es mich brennend, was das ist. Zitat:
Viel Erfolg. Gruß Handball10 |
Hi, es ist nicht mehr da. Sorry. Somit kann ich es leider nicht mehr hochladen. Nun aber dazu wo es herkommt: Diese Datei war in einer Email zu downloaden. Ein Versandhaus, welches im Internet pleite gegangen ist. Ich habe leider nicht wirklich aufgepaßt und schon auf ausführen geklickt. Leider ist die Email auch nicht mehr da. Aber vorsicht vor diesen Dingern!! Gruß Dzubbe |
Hast du also schon neuaufgesetzt? Danke für die Rückmeldung. :) |
Hi, nein haben wir noch nicht, aber dieses malware-system hat einen teil wohl entfernt und bei dem hj... konnte ich es ja scannen und reparieren lassen somit sind die dann wohl entfernt worden habe die angeglickt, die du als gefährlich angesehen hast somit hatte ich dies dann auch schon erledigt und konnte es leider nicht mehr hochladen wir setzten ihn gleich neu auf und hoffe, dass ich nie wieder so etwas haben werde gruß dzubbe |
Wenn du nur die Einträge gefixt hast, sind die Dateien normalerweise noch da... Was ich mir noch vorstellen könnte, dass im System noch weiteres Zeugs läuft, was dei Datei einfach versteckt. Es wäre sehr interessant zu wissen, was der SISSIBOT ist, denn so was habe ich noch nie gesehen. Hattest du eventuell die Datei gelöscht, nachdem du die Einträge gefixt hast, oder hat dein Avira irgendetwas erkannt? Poste zum Ende am besten das Logfile von Avira, dann bist du zum Neuaufsetzen entlassen :) Gruß Handball10 |
Hi, habe die Datei zurück holen können, Rechner wird ja eh gleich neu aufgesetzt und habe sie hochgeladen. Bei beiden Seiten, die du mir empfohlen hast, Mal schauen was bei rum kommt. Gruß Dzubbe |
Hier die Ergebnisse von Virus Total, was das auch immer alles bedeuten mag: Datei nod64.exe empfangen 2009.07.15 12:02:57 (UTC) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.07.15 - AhnLab-V3 5.0.0.2 2009.07.15 - AntiVir 7.9.0.215 2009.07.15 - Antiy-AVL 2.0.3.7 2009.07.15 - Authentium 5.1.2.4 2009.07.15 - Avast 4.8.1335.0 2009.07.14 - AVG 8.5.0.387 2009.07.15 - BitDefender 7.2 2009.07.15 - CAT-QuickHeal 10.00 2009.07.15 (Suspicious) - DNAScan ClamAV 0.94.1 2009.07.15 - Comodo 1658 2009.07.15 - DrWeb 5.0.0.12182 2009.07.15 - eSafe 7.0.17.0 2009.07.14 - eTrust-Vet 31.6.6616 2009.07.15 - F-Prot 4.4.4.56 2009.07.14 - F-Secure 8.0.14470.0 2009.07.15 - Fortinet 3.120.0.0 2009.07.15 - GData 19 2009.07.15 - Ikarus T3.1.1.64.0 2009.07.15 - Jiangmin 11.0.706 2009.07.15 - K7AntiVirus 7.10.792 2009.07.14 - Kaspersky 7.0.0.125 2009.07.15 - McAfee 5676 2009.07.14 - McAfee+Artemis 5676 2009.07.14 - McAfee-GW-Edition 6.8.5 2009.07.15 - Microsoft 1.4803 2009.07.15 - NOD32 4245 2009.07.15 - Norman 6.01.09 2009.07.15 - nProtect 2009.1.8.0 2009.07.15 - Panda 10.0.0.14 2009.07.14 - PCTools 4.4.2.0 2009.07.14 - Prevx 3.0 2009.07.15 - Rising 21.38.22.00 2009.07.15 - Sophos 4.43.0 2009.07.15 - Sunbelt 3.2.1858.2 2009.07.15 - Symantec 1.4.4.12 2009.07.15 - TheHacker 6.3.4.3.367 2009.07.14 - TrendMicro 8.950.0.1094 2009.07.15 - VBA32 3.12.10.8 2009.07.15 - ViRobot 2009.7.15.1837 2009.07.15 - VirusBuster 4.6.5.0 2009.07.14 - weitere Informationen File size: 848689 bytes MD5 : a5835e0821bf7d0604c02392d334c46f SHA1 : 0ca72b3bc90dd848088e79f5f5d0d863c3a8fd71 SHA256: 6443170564baa08238a57e27cab8a8d0ccdc382d4452d301bc13b55180c14214 PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x11A0<br> timedatestamp.....: 0x4A5B3327 (Mon Jul 13 15:14:15 2009)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 3 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .data 0x1000 0xB554 0xC000 4.75 71c151eb5f8194b74b1660cb9e16d06b<br>.rsrc 0xD000 0x2034 0x3000 3.36 c3441069a7bd4cf66b39a757de330761<br>.rdata 0x10000 0xBF32F 0xBF32F 7.66 bb606c4f8377df40b872c1c18d1d6dd4<br> <br> ( 1 imports )<br> <br>> msvbvm60.dll: -, MethCallEngine, -, -, -, -, -, -, -, -, -, EVENT_SINK_AddRef, -, DllFunctionCall, -, EVENT_SINK_Release, -, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, -, -, -, ProcCallEngine, -, -, -, -, -, -, -, -, -, -, -, -, -, -<br> <br> ( 0 exports )<br> TrID : File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 24576:4+ksWhDkP5R+aw55eW/z1s9oQ028i17tmTV:xkF7CWZMD17wZ PEiD : - RDS : NSRL Reference Data Set<br>- Oder brauchst du die anders? Gruß Dzubbe |
meinte nicht ganz die nod64.exe, aber auch ok :) Komisch nur, dass so wenige Scanner anschlagen. Aber wenn du sie im TB-Upload-Channel hochgeladen hast, geht das automatisch an die AntiViren-Hersteller. Was passiert den, wenn du den Pfad bei Virustotal eingibst? Also diesen Pfad: Code: C:\Windows\service.exeGruß Handball10 |
sorry, aber den findet er nicht!!!! selbst jetzt nicht ich verzweifel hier noch will ihn dir ja gerne hochladen aber er ist nicht da!!! sorry |
ok, dann will ich dich auch nicht weiter aufhalten :) Viel Erfolg beim Neuaufsetzen ! Gruß Handball10 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board