Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: evtl. Virus oder Trojaner???

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 04.05.2009, 09:32   #1
maeuschen81
 
evtl. Virus oder Trojaner??? - Standard

evtl. Virus oder Trojaner???



Hallo habe seit vorgestern das Problem das mein Ie einfach eine Seite aufmacht wenn ich mit dem Ie surfe.
Der Rechner ist neu zusammen gestellt worden und etwa 2 Wochen in gebrauch...

Mein Norton sagt dazu:

Ein Eindringversuch von ***wurde blockiert. Anwendungspfad\DEVICE\HARDDISKVOLUME1\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

Den blockiert er zwar aber einfach ausschalten/ignorieren möchte ich den Fehler nicht!


Und dann noch dieser Fehler:

ms-scan.info/l1/index.html?ref_id=7117&sub_id=4162





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:26:05, on 04.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Norton 360\Engine\3.0.0.134\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\dokumente und einstellungen\monique\lokale einstellungen\anwendungsdaten\qmeye.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Norton 360\Engine\3.0.0.134\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\PROGRA~1\MICROS~3\Office\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton 360\Engine\3.0.0.134\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton 360\Engine\3.0.0.134\IPSBHO.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\3.0.0.134\coIEPlg.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\DOKUME~1\***\LOKALE~1\Temp\E_S27.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [qmeye] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\qmeye.exe" qmeye
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Pinnacle ShowCenter StreamServer.lnk = C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239394784328
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1239394847265
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton 360\Engine\3.0.0.134\coIEPlg.dll
O20 - Winlogon Notify: __c005921 - C:\WINDOWS\system32\__c005921.dat
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Norton 360 (N360) - Symantec Corporation - C:\Programme\Norton 360\Engine\3.0.0.134\ccSvcHst.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

Alt 04.05.2009, 16:30   #2
maeuschen81
 
evtl. Virus oder Trojaner??? - Standard

evtl. Virus oder Trojaner???



Hallo,

ich nochmal. Mein Freund hat sich das eben mal angeschaut und den Fehler behoben.

Er hat dazu folgende Programme genutzt:

SUPERAntiSpyware Free Edition
SmitfraudFix

Die haben sogar noch andere Trojaner gefunden, die auf meinem Rechner waren.


Somit ist mein Problem gelöst, vielleicht hat jemand ja ein ähnliches.....
__________________


Alt 04.05.2009, 16:32   #3
john.doe
 
evtl. Virus oder Trojaner??? - Standard

evtl. Virus oder Trojaner???



Hallo Monique und

Zitat:
Und dann noch dieser Fehler:

ms-scan.info
Interessante URL. Die rufen wir doch mal auf (k.P., hab doch Opera).



Soso, nur ärgerlich, dass ich genau weiß, dass mein Rechner sauber ist. Und wieso läuft das Skript ab, obwohl ich auf Abbrechen geklickt habe?



Nach einigen Sekunden sieht es so aus (ohne das ein Zugriff auf die Festplatte erfolgt):



Es kommt noch besser (eine gefakte Dialogbox im XP-Style, schade nur, dass ich Windows klassisch habe, man achte auch auf die Abrundungen oben ):



Huch, sieht ja übel aus, gleich auf "Erase all threats" klicken, denn oberste Regel lautet ja: Erst klicken, dann denken, s. http://www.trojaner-board.de/396401-post22.html.

Klar, jetzt kommt:



Zum Glück geht Opera standardmäßig auf Speichern und nicht auf Ausführen wie der Browser von Winzigweich (englisch: Microsoft).

So, jetzt aber doch etwas vorsichtiger sein. Was sagt den VT zu dem Teil:

Virustotal. MD5: 3818a6ca4e8912c077c527e63c814c7d Suspicious:W32/Malware!Gemini Unclassified Malware Trojan.Win32.Malware.1
Code:
ATTFilter
Datei sysprotector_install_71174162.exe empfangen 2009.05.04 16:48:27 (CET)
Status:   Beendet 
Ergebnis: 7/40 (17.5%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.101	2009.05.04	-
AhnLab-V3	5.0.0.2	2009.05.04	-
AntiVir	7.9.0.160	2009.05.04	-
Antiy-AVL	2.0.3.1	2009.04.30	-
Authentium	5.1.2.4	2009.05.04	-
Avast	4.8.1335.0	2009.05.04	-
AVG	8.5.0.327	2009.05.04	-
BitDefender	7.2	2009.05.04	-
CAT-QuickHeal	10.00	2009.05.04	-
ClamAV	0.94.1	2009.05.04	-
Comodo	1149	2009.05.03	Unclassified Malware
DrWeb	4.44.0.09170	2009.05.04	-
eSafe	7.0.17.0	2009.05.03	-
eTrust-Vet	31.6.6488	2009.05.04	-
F-Prot	4.4.4.56	2009.05.04	-
F-Secure	8.0.14470.0	2009.05.04	Suspicious:W32/Malware!Gemini
Fortinet	3.117.0.0	2009.05.04	-
GData	19	2009.05.04	-
Ikarus	T3.1.1.49.0	2009.05.04	-
K7AntiVirus	7.10.723	2009.05.04	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2009.05.04	-
McAfee	5604	2009.05.03	-
McAfee+Artemis	5604	2009.05.03	Artemis!3818A6CA4E89
McAfee-GW-Edition	6.7.6	2009.05.04	-
Microsoft	1.4602	2009.05.04	-
NOD32	4051	2009.05.04	-
Norman	6.01.05	2009.04.30	-
nProtect	2009.1.8.0	2009.05.04	-
Panda	10.0.0.14	2009.05.03	-
PCTools	4.4.2.0	2009.05.03	-
Prevx1	V2	2009.05.04	-
Rising	21.28.04.00	2009.05.04	-
Sophos	4.41.0	2009.05.04	Mal/DelpDldr-B
Sunbelt	3.2.1858.2	2009.05.03	SystemProtector
Symantec	1.4.4.12	2009.05.04	-
TheHacker	6.3.4.1.318	2009.05.03	-
TrendMicro	8.950.0.1092	2009.05.04	-
VBA32	3.12.10.4	2009.05.04	suspected of Win32.Trojan.Downloader (http://...)
ViRobot	2009.5.4.1719	2009.05.04	-
VirusBuster	4.6.5.0	2009.05.04	-
weitere Informationen
File size: 26624 bytes
MD5...: 3818a6ca4e8912c077c527e63c814c7d
SHA1..: 3a738fea88ee1cbce75eb19079452b15cad7305a
SHA256: 614d03800b4972bd0dbeffb38d1739304f931a36e39968bd582e7e63e23e72f1
SHA512: 4b3bc2cce897f491425a77bb5510d80152c59cc885e606acfb38781031feed4d
440fb4620ee15e2cf3f708992f139568aeae462f1fc8395da9ffec8cfa597e0e
ssdeep: 384:LZRdCyBMqlWsmQHBZkC0xpazmORjSe6xvUAP13THhe6LikDUdlCy:VCyOqll
mQhwxKt+J13rYxlC
PEiD..: -
TrID..: File type identification
Win32 Executable Borland Delphi 7 (70.1%)
Win32 Executable Borland Delphi 6 (27.5%)
Win32 Executable Generic (0.8%)
Win32 Dynamic Link Library (generic) (0.7%)
Win16/32 Executable Delphi generic (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4c0c
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x3cd8 0x3e00 6.45 5f989809980441675b9d3e751d7ed6c9
DATA 0x5000 0xa8 0x200 1.89 4e3833af5b0be79e765cd00acce3e26e
BSS 0x6000 0x6a1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x7000 0x790 0x800 4.22 fe0d2fabecf3e5fa1d0ede015d8c8db4
.tls 0x8000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x9000 0x18 0x200 0.20 85a628617cb3cf1d4f392444aca2f86a
.reloc 0xa000 0x474 0x600 5.50 c08e93a2e01e1a51366ee50830ff63d2
.rsrc 0xb000 0x1400 0x1400 5.19 54992a92f1e03273f62eed4effd14660

( 13 imports ) 
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, GetThreadLocale, GetStartupInfoA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, ExitProcess, CreateThread, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, MessageBoxA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegSetValueExA, RegCreateKeyExA
> kernel32.dll: MoveFileA, GetModuleFileNameA, ExitThread, ExitProcess, DeleteFileA
> gdi32.dll: SetBkColor, SelectObject, GetStockObject, ExtTextOutA
> user32.dll: CreateWindowExA, UpdateWindow, TranslateMessage, ShowWindow, SendMessageA, RegisterClassA, PostQuitMessage, MessageBoxA, LoadIconA, LoadCursorA, GetSystemMetrics, GetSysColor, GetMessageA, EndPaint, DispatchMessageA, DefWindowProcA, CloseWindow, BeginPaint
> URLMON.DLL: URLDownloadToFileA
> ole32.dll: OleInitialize
> comctl32.dll: InitCommonControlsEx
> shell32.dll: ShellExecuteA, SHGetSpecialFolderPathA

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3818a6ca4e8912c077c527e63c814c7d' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3818a6ca4e8912c077c527e63c814c7d</a>
         
Nur 7 von 40? Und nur einer hat einen vernünftigen Namen für das Teil? Mal schauen, was TE zu dem Teil sagt:
ThreatExpert Report: Mal/DelpDldr-B, Backdoor.Win32.Inject.wg, Backdoor.Trojan..

Ein Downloader, der das hier nachlädt:
Virustotal. MD5: 5728605e733b19511b85484de8bf8475 Backdoor.Trojan Trojan.Dropper.Inject.WG.2 Backdoor.Win32.Inject.wg
ThreatExpert Report: Backdoor.Win32.Inject.wg, Backdoor.Trojan..
Code:
ATTFilter
Datei install.exe empfangen 2009.05.04 16:53:26 (CET)
Status:    Beendet 
Ergebnis: 23/40 (57.5%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.101	2009.05.04	Riskware.FraudTool.Win32.Spyprotector!IK
AhnLab-V3	5.0.0.2	2009.05.04	-
AntiVir	7.9.0.160	2009.05.04	DR/Inject.WG.2
Antiy-AVL	2.0.3.1	2009.04.30	FraudTool/Win32.Spyprotector
Authentium	5.1.2.4	2009.05.04	-
Avast	4.8.1335.0	2009.05.04	Win32:Spyware-gen
AVG	8.5.0.327	2009.05.04	SHeur2.ZHN
BitDefender	7.2	2009.05.04	BehavesLike:Trojan.TaskDisabler
CAT-QuickHeal	10.00	2009.05.04	-
ClamAV	0.94.1	2009.05.04	-
Comodo	1149	2009.05.03	Backdoor.Win32.Inject.wg
DrWeb	4.44.0.09170	2009.05.04	-
eSafe	7.0.17.0	2009.05.03	Win32.DRInject.Wg
eTrust-Vet	31.6.6488	2009.05.04	-
F-Prot	4.4.4.56	2009.05.04	-
F-Secure	8.0.14470.0	2009.05.04	Backdoor.Win32.Inject.wg
Fortinet	3.117.0.0	2009.05.04	Misc/Spyprotector
GData	19	2009.05.04	BehavesLike:Trojan.TaskDisabler
Ikarus	T3.1.1.49.0	2009.05.04	not-a-virus:FraudTool.Win32.Spyprotector
K7AntiVirus	7.10.723	2009.05.04	-
Kaspersky	7.0.0.125	2009.05.04	not-a-virus:FraudTool.Win32.Spyprotector.ba
McAfee	5604	2009.05.03	-
McAfee+Artemis	5604	2009.05.03	Artemis!5728605E733B
McAfee-GW-Edition	6.7.6	2009.05.04	Trojan.Dropper.Inject.WG.2
Microsoft	1.4602	2009.05.04	Trojan:Win32/FakePowav
NOD32	4051	2009.05.04	Win32/AutoRun.Agent.MG
Norman	6.01.05	2009.04.30	-
nProtect	2009.1.8.0	2009.05.04	-
Panda	10.0.0.14	2009.05.03	W32/AutoRun.DJ.worm
PCTools	4.4.2.0	2009.05.03	-
Prevx1	3.0	2009.05.04	-
Rising	21.28.04.00	2009.05.04	-
Sophos	4.41.0	2009.05.04	Troj/FakeVir-IP
Sunbelt	3.2.1858.2	2009.05.03	SystemProtector
Symantec	1.4.4.12	2009.05.04	Backdoor.Trojan
TheHacker	6.3.4.1.318	2009.05.03	Trojan/Downloader.gen
TrendMicro	8.950.0.1092	2009.05.04	-
VBA32	3.12.10.4	2009.05.04	Hoax.Win32.SpyProtect
ViRobot	2009.5.4.1719	2009.05.04	-
VirusBuster	4.6.5.0	2009.05.04	-
weitere Informationen
File size: 1321296 bytes
MD5...: 5728605e733b19511b85484de8bf8475
SHA1..: 55cfa20f1d849a139565afc58521cbaa8e533c5d
SHA256: 73ef90b755b0c74d37ad09604abdda0332db996debcc5c1ccf9e0391b1b7ea49
SHA512: b316d950ae26be53fcf815fba9c0fcb667fe1659943fcdb44e2cdf59b4f830a4
7abf500ada31d4df3ee627ca984f72a5c684b317833435a779128c66845c3fb9
ssdeep: 24576:6m86zQh+oASNfcajEBK2FwU+w7KvIpfPber2ORpR8UP8wgZPN:t8iQwoAS
NfoK+T7KQpb4fyK8wgZPN
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x30b4
timedatestamp.....: 0x48a737e2 (Sat Aug 16 20:26:10 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x57ec 0x5800 6.48 a06acff3c3236138ef0c89710413f34c
.rdata 0x7000 0x1190 0x1200 5.18 0f7b157b78f399340e80aa07581634eb
.data 0x9000 0x1af58 0x400 4.59 17047dc18ec7b67a9dd51dc161e64f03
.ndata 0x24000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x2c000 0x38a8 0x3a00 5.92 ed88e83ecc9d4ccfce1cf8bc3c296781

( 8 imports ) 
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=5728605e733b19511b85484de8bf8475' target='_blank'>http://www.threatexpert.com/report.aspx?md5=5728605e733b19511b85484de8bf8475</a>
         
Wem gehört denn überhaupt die Domain?
BetterWhois.com: Security Validation
Zitat:
Registrant Contact:
Indivudual
Oleg XXXXXXX oleg.bajenov@gmail.com
79068601413 fax:
120 Cheluskinskaya st
Moskow RU 127500
ru
(Emailadresse wurde absichtlich nicht entschärft, in der Hoffnung, dass möglichst viele Spammer hier vorbeischauen )
Die ursprüngliche Adresse gehört übrigens jemandem in New York, interessanterweise auch mit einem Gmail-Account.
BetterWhois.com: Security Validation

Und wer ist der Provider?



Also merken: Immer erst klicken und dann denken!

Zitat:
wenn ich mit dem Ie surfe.
Kein vernünftiger Mensch surft mit dem MSIE.
Zitat:
Der Rechner ist neu zusammen gestellt worden und etwa 2 Wochen in gebrauch...
Klarer Fall von UECO (User error, change operator).

1.) Deinstalliere:
//Edit: Zu spät.

Poste bitte ein aktuelles HJT-Log.

ciao, andreas
__________________
__________________

Geändert von john.doe (04.05.2009 um 16:38 Uhr)

Alt 04.05.2009, 18:59   #4
Manu_F
 
evtl. Virus oder Trojaner??? - Standard

evtl. Virus oder Trojaner???



Hallo Zusammen

Mein Avira-Antivirus gibt seit gestern bei jedem Ordneröffnen folgende Meldung an:

TR/Crypt.Morphine.Gen

Wenn ich löschen will, passiert überhaupt nichts. Ich bin wirklich unerfahren und habe überhaupt keine Ahnung, wie ich vorgehen soll. Ist das ein Virus oder ein Trojaner?

Kann mir bitte jemand helfen? Wäre sehr froh

Alt 11.05.2009, 15:58   #5
john.doe
 
evtl. Virus oder Trojaner??? - Standard

evtl. Virus oder Trojaner???



Kaum schickt man eine Email los, schon bewegt sich etwas.

Code:
ATTFilter
Datei sysprotector_install_71174162.exe empfangen 2009.05.11 16:42:10 (CET)
Status:    Beendet 
Ergebnis: 20/40 (50%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.101	2009.05.11	Trojan-Downloader.Win32.FraudLoad!IK
AhnLab-V3	5.0.0.2	2009.05.11	-
AntiVir	7.9.0.166	2009.05.11	SPR/Dldr.Sysprot.A
Antiy-AVL	2.0.3.1	2009.05.11	-
Authentium	5.1.2.4	2009.05.10	-
Avast	4.8.1335.0	2009.05.10	Win32:Adware-gen
AVG	8.5.0.327	2009.05.11	Downloader.Delf.CNR
BitDefender	7.2	2009.05.11	-
CAT-QuickHeal	10.00	2009.05.09	TrojanDownloader.FraudLoad.vs
ClamAV	0.94.1	2009.05.11	-
Comodo	1157	2009.05.08	Unclassified Malware
DrWeb	5.0.0.12182	2009.05.11	-
eSafe	7.0.17.0	2009.05.10	-
eTrust-Vet	31.6.6497	2009.05.08	-
F-Prot	4.4.4.56	2009.05.10	-
F-Secure	8.0.14470.0	2009.05.11	Trojan-Downloader.Win32.FraudLoad.vskb
Fortinet	3.117.0.0	2009.05.11	W32/DelpDldr.B
GData	19	2009.05.11	Win32:Adware-gen 
Ikarus	T3.1.1.49.0	2009.05.11	Trojan-Downloader.Win32.FraudLoad
K7AntiVirus	7.10.729	2009.05.08	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2009.05.11	Trojan-Downloader.Win32.FraudLoad.vskb
McAfee	5611	2009.05.10	Generic Downloader.x!bp
McAfee+Artemis	5611	2009.05.10	Generic Downloader.x!bp
McAfee-GW-Edition	6.7.6	2009.05.11	Riskware.Dldr.Sysprot.A
Microsoft	1.4602	2009.05.11	Trojan:Win32/FakePowav
NOD32	4064	2009.05.11	Win32/Adware.SpyProtector.L
Norman	6.01.05	2009.05.11	-
nProtect	2009.1.8.0	2009.05.11	-
Panda	10.0.0.14	2009.05.11	-
PCTools	4.4.2.0	2009.05.07	-
Prevx	3.0	2009.05.11	-
Rising	21.29.04.00	2009.05.11	-
Sophos	4.41.0	2009.05.11	Mal/DelpDldr-B
Sunbelt	3.2.1858.2	2009.05.09	SystemProtector
Symantec	1.4.4.12	2009.05.11	-
TheHacker	6.3.4.1.324	2009.05.09	-
TrendMicro	8.950.0.1092	2009.05.11	-
VBA32	3.12.10.4	2009.05.11	suspected of Win32.Trojan.Downloader (http://...)
ViRobot	2009.5.11.1729	2009.05.11	-
VirusBuster	4.6.5.0	2009.05.11	-
weitere Informationen
File size: 26624 bytes
MD5...: 3818a6ca4e8912c077c527e63c814c7d
SHA1..: 3a738fea88ee1cbce75eb19079452b15cad7305a
SHA256: 614d03800b4972bd0dbeffb38d1739304f931a36e39968bd582e7e63e23e72f1
SHA512: 4b3bc2cce897f491425a77bb5510d80152c59cc885e606acfb38781031feed4d
440fb4620ee15e2cf3f708992f139568aeae462f1fc8395da9ffec8cfa597e0e
ssdeep: 384:LZRdCyBMqlWsmQHBZkC0xpazmORjSe6xvUAP13THhe6LikDUdlCy:VCyOqll
mQhwxKt+J13rYxlC
PEiD..: -
TrID..: File type identification
Win32 Executable Borland Delphi 7 (70.1%)
Win32 Executable Borland Delphi 6 (27.5%)
Win32 Executable Generic (0.8%)
Win32 Dynamic Link Library (generic) (0.7%)
Win16/32 Executable Delphi generic (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4c0c
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x3cd8 0x3e00 6.45 5f989809980441675b9d3e751d7ed6c9
DATA 0x5000 0xa8 0x200 1.89 4e3833af5b0be79e765cd00acce3e26e
BSS 0x6000 0x6a1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x7000 0x790 0x800 4.22 fe0d2fabecf3e5fa1d0ede015d8c8db4
.tls 0x8000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x9000 0x18 0x200 0.20 85a628617cb3cf1d4f392444aca2f86a
.reloc 0xa000 0x474 0x600 5.50 c08e93a2e01e1a51366ee50830ff63d2
.rsrc 0xb000 0x1400 0x1400 5.19 54992a92f1e03273f62eed4effd14660

( 13 imports ) 
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, GetThreadLocale, GetStartupInfoA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, ExitProcess, CreateThread, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, MessageBoxA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegSetValueExA, RegCreateKeyExA
> kernel32.dll: MoveFileA, GetModuleFileNameA, ExitThread, ExitProcess, DeleteFileA
> gdi32.dll: SetBkColor, SelectObject, GetStockObject, ExtTextOutA
> user32.dll: CreateWindowExA, UpdateWindow, TranslateMessage, ShowWindow, SendMessageA, RegisterClassA, PostQuitMessage, MessageBoxA, LoadIconA, LoadCursorA, GetSystemMetrics, GetSysColor, GetMessageA, EndPaint, DispatchMessageA, DefWindowProcA, CloseWindow, BeginPaint
> URLMON.DLL: URLDownloadToFileA
> ole32.dll: OleInitialize
> comctl32.dll: InitCommonControlsEx
> shell32.dll: ShellExecuteA, SHGetSpecialFolderPathA

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3818a6ca4e8912c077c527e63c814c7d' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3818a6ca4e8912c077c527e63c814c7d</a>
         
Könnte aber noch besser werden.

Danke für die Kooperation und Gruß an die AVP-Hersteller,
andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu evtl. Virus oder Trojaner???
adobe, bho, dll, einstellungen, explorer, fehler, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, intrusion prevention, mozilla, mssql, nvidia, plug-in, problem, rundll, software, stick, symantec, system, temp, trojaner, trojaner?, tuneup.defrag, virus, windows, windows xp




Ähnliche Themen: evtl. Virus oder Trojaner???


  1. Unbefugter Zugriff auf meinem Ebay-Account evtl. wegen Polizei Virus/Trojaner?
    Log-Analyse und Auswertung - 08.06.2015 (10)
  2. Evtl. Hacker oder Schädling auf dem Pc
    Plagegeister aller Art und deren Bekämpfung - 17.06.2014 (17)
  3. Verschiedene Offene Ports - evtl. Trojaner oder ähnliches dabei?
    Plagegeister aller Art und deren Bekämpfung - 09.06.2013 (7)
  4. Evtl. Virus oder Trojaner eingefangen
    Log-Analyse und Auswertung - 04.02.2013 (24)
  5. Virus oder Trojaner auf dem Computer führt zu Problemen, evtl. Conficker
    Plagegeister aller Art und deren Bekämpfung - 29.11.2012 (25)
  6. Pc ist sehr langsam, evtl. Trojaner, Virus?
    Log-Analyse und Auswertung - 05.10.2012 (3)
  7. Problem mit Trojaner q9.cmd (+evtl. Flashdrive Virus?)
    Plagegeister aller Art und deren Bekämpfung - 15.08.2012 (2)
  8. Mozilla, Internet Explorer öffnet ungewünschte Seiten. Einstellung oder Virus, evtl änderung?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (1)
  9. PC ist sehr langsam im Internet? Evtl Trojaner oder ähnliches?
    Plagegeister aller Art und deren Bekämpfung - 15.09.2011 (6)
  10. Virus malware oder weis nicht was! kann nichts machen Sau frisst sich evtl. in Ram
    Plagegeister aller Art und deren Bekämpfung - 27.10.2009 (1)
  11. Virus oder Trojaner evtl. Trojan Agent oderUserinti.exe
    Log-Analyse und Auswertung - 09.03.2009 (1)
  12. Trojaner/virus evtl?
    Mülltonne - 06.11.2008 (0)
  13. Trojianer oder Virus ??? evtl.
    Plagegeister aller Art und deren Bekämpfung - 15.12.2007 (0)
  14. Schweres Virus,Trojaner und evtl. hacker problem!!
    Plagegeister aller Art und deren Bekämpfung - 06.05.2007 (28)
  15. Task(evtl. Trojaner) kann nicht beendet oder gelöscht werden
    Plagegeister aller Art und deren Bekämpfung - 12.04.2005 (13)
  16. Neustart Problem, evtl. dllcon.exe oder muamgard.exe
    Plagegeister aller Art und deren Bekämpfung - 21.08.2004 (9)
  17. Merkwürdiges Problem! Evtl.Virus oder Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 30.06.2004 (0)

Zum Thema evtl. Virus oder Trojaner??? - Hallo habe seit vorgestern das Problem das mein Ie einfach eine Seite aufmacht wenn ich mit dem Ie surfe. Der Rechner ist neu zusammen gestellt worden und etwa 2 Wochen - evtl. Virus oder Trojaner???...
Archiv
Du betrachtest: evtl. Virus oder Trojaner??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.