Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   EXE-Datei unter C:\Dokumente und Einstellungen\User\ (https://www.trojaner-board.de/82848-exe-datei-c-dokumente-einstellungen-user.html)

Leonixx 12.02.2010 17:20
Den Fund von Antivir.

Hannibal 12.02.2010 17:21
und wie?

Auf der AntiVir CD hab ich da keine Möglichkeit für gefunden...

Hannibal 12.02.2010 17:34
Hab bei der Konfiguration umgestellt, so dass er die Funde löscht,...

Jetzt scannt er noch mal 20 Minuten - dann gibs ein neues HJT-Log.

Leonixx 12.02.2010 17:37
Du hast recht. Der Fund lässt sich nicht löschen mit der CD. Nicht so tragisch, da der Fund in einem Wiederherstellungspunkt ist. Läßt sich relativ einfach entfernen. Das machen wir später, wenn du das Logfile postest.

Hannibal 12.02.2010 17:56
Im Logfile von HiJackThis ist die EXE nach wie vor aktiv.:uglyhammer:

Aber der Browser geht nicht mehr,...

Ich starte mal neu,...

Hannibal 12.02.2010 18:01
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:02, on 12.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\BackupGenie\BackupGenie.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [xuinus] C:\Dokumente und Einstellungen\Administrator\xuinus.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BackupGenie.lnk = C:\Programme\BackupGenie\BackupGenie.exe
O4 - Startup: EcrSpool.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4642 bytes
Browser funzt wieder,...

Kiyoshi 12.02.2010 18:04
Hey,
funktioniert dein Browser wieder?
Hast du Malwarebytes schon mal laufen gelassen?

Hannibal 12.02.2010 18:06
Ja, der funzt wieder.

Noch mal laufen lassen? Neues Log kommt sofort,...

Leonixx 12.02.2010 18:12
Dieser Prozess ist sehr mysteriös. Kann dazu keinerlei Infos finden. Auch diese Datei EcrSpool.exe kenne ich nicht. Versuche die .exe mal auf deinem Rechner über die Suchfunktion von Windows zu finden.

Hannibal 12.02.2010 18:22
Hab die Datei gesucht und im Autostart gefunden.
Das Ding gehört allerdings zu einem Programm das nicht schädlich ist.
Hab's sicherheitshalber noch mal bei virustotal.com hochgeladen und es ist fast unauffällig. Lediglich Symantec meldet "Suspicious.Insight"

Kiyoshi 12.02.2010 18:25
Könntest du uns sicherheitshalber, auch für später Personen, sagen von welchem Programm die EXE ist?

Wie sieht es mit Malwarebytes aus?

Hannibal 12.02.2010 18:30
Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3729
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

12.02.2010 18:27:04
mbam-log-2010-02-12 (18-27-04).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 155448
Laufzeit: 21 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Das ist ein Authentifizierungstool für ne Bankingsoftware - kannst nen USB-Dongle rausziehen und nix geht mehr,...

Kiyoshi 12.02.2010 18:40
Hey,
dann scannen wir, um sicherzugehen, mit CureIt.

Führe bitte im abgesicherten Modus folgendes wie in der Anleitung beschrieben aus:
http://www.trojaner-board.de/59299-a...eb-cureit.html

Wie du in den abgesicherten Modus kommst erfährst du hier : http://hoax-info.tubit.tu-berlin.de/...savemode.shtml

Poste das Ergebnis dann hier hinein

Hannibal 12.02.2010 19:05
Cureit:
Es wurden keine Viren bzw. verdächtige Objekte gefunden.

Und nun?

Kiyoshi 12.02.2010 19:11
Hey,
du hast CureIt so angewandt wie in der Anleitung? Einstellungen übernommen und einen Full Scan im abgesicherten Modus?

Wenn ja, ist die Datei :
Code:
C:\Dokumente und Einstellungen\Administrator\xuinus.exe
dennoch vorhanden ?

Bitte mal im Verzeichnis nach schauen und einmal nach xuinus* suchen

Bitte mal das komplette Logfile von CureIt einfügen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:53 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19