|
Log-Analyse und Auswertung: HJT Logfile -> ??? und stasxx.chmWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.01.2005, 21:57 | #1 |
| HJT Logfile -> ??? und stasxx.chm Hallo Leute! Ich würde mich sehr über Eure Hilfe freuen, da ich von der Materie wenig Ahnung habe. Ein Scan mit ANTIVIR ergab gestern, dass der Trojaner Drop.Delf.FD.1 sich auf meinem System (welches übrigens weiterhin stabil läuft) befindet. Kennt den jemand, was kann ich gegen den tun? Nachdem ich ANTIVIR deaktiviert und mit NOD32 gescannt habe, wurde die Datei mit dem gruseligen Namen stasxx.chm gefunden, die aber irgendwie bisher weder in Quarantäne schicken oder löschen konnte. Irgendwo habe ich gelesen, dass man mit HJT das System scannen kann und evtl. auch "böse" Einträge/Spuren fixen kann. Ich kann aber leider mit den meisten Einträgen nichts anfangen. Was soll ich fixen, was besser nicht? *************************************** Logfile of HijackThis v1.99.0 Scan saved at 20:22:43, on 13.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\mgabg.exe C:\WINNT\system32\regsvc.exe C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe C:\WINNT\system32\MSTask.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\Treiber\Logitech\iTouch\iTouch.exe C:\WINNT\Treiber\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINNT\system32\CTHELPER.EXE E:\cFos DSL Modem\cFosDNT.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe E:\DVD\DVD Solution\PowerDVD\PDVDServ.exe C:\WINNT\system32\PDesk\PDesk.exe E:\QuickTime\qttask.exe C:\WINNT\MXOALDR.EXE D:\Matrox\Utils\OneTouch.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe E:\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Acrobat\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [zBrowser Launcher] C:\WINNT\Treiber\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\WINNT\Treiber\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [cFosDNT] E:\cFos DSL Modem\cFosDNT.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [RemoteControl] "E:\DVD\DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINNT\MXOALDR.EXE O4 - HKLM\..\Run: [MaxtorOneTouch] D:\Matrox\Utils\OneTouch.exe O4 - HKCU\..\Run: [NBJ] "E:\N6_ALT\Nero BackItUp\NBJ.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://tFdwEDWvwdUtDDDg:wgTwtFDDUteU...CamControl.ocx O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} (HTMLAccess Class) - http://usa-download.nocreditcard.com...HTMLAccess.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe O23 - Service: Retrospect Launcher - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe ***************************************** Vielleicht kann mir jemand helfen? Die guten Geister des Cyberspace mögen Euch segnen! Greetz, luxbln |
13.01.2005, 22:08 | #2 |
| HJT Logfile -> ??? und stasxx.chm Wo genau wurde die stasxx.chm gefunden?
__________________cacatoa
__________________ |
14.01.2005, 01:11 | #3 |
| HJT Logfile -> ??? und stasxx.chm Hallo Cacatoa!
__________________Diese Datei "stasxx.chm" liegt auf der Systempartition C:\ auf oberster Ebene. Das Virenerkennungsprogramm "Nod32" hatte sie gefunden - leider kann ich Dir den genauen Report nich mehr senden, da ich Nod32 wieder deinstalliert habe, um mit anderer Anti-Virussoftware zu experimentieren. Aber ich hatte mir etwas notiert. Die Meldung sah etwa so aus: C:\stasxx.chm und dann noch etwa: on-line.exe Win32/Dialer.CE Trojaner Antivir erkennt das übrigens nicht als Problem - ist es am Ende keins? Hmmmm..... Kanns Du mir denn vielleicht etwas zum bereits geposteten Log-File von HijackThis sagen? Was sollte ich da fixen - und was lieber nicht? Wäre schön, noch mal von Dir zu hören! Greetz, Torsten |
14.01.2005, 05:03 | #4 |
| HJT Logfile -> ??? und stasxx.chm @ luxbln boote in den VGA Modus, fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52...meInstaller.exe wenn Du diese Einträge nicht kennst/brauchst, bitte fixen: O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://tFdwEDWvwdUtDDDg:wgTwtFDDUte...sCamControl.ocx O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} (HTMLAccess Class) - h**p://usa-download.nocreditcard.co...DHTMLAccess.cab boote in den normalen Modus. ------------------------ Um herauszufinden, ob sich auf Deinem Rechner Malware befindet, kannst Du ihn folgendermaßen überprüfen: Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter und entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) |
15.01.2005, 17:33 | #5 |
| HJT Logfile -> ??? und stasxx.chm Hallo Shadowdance! Vielen herzlichen Dank erstmal, dass Du Dich meines Problems angenommen hattest. Ich habe das getan, was Du mir geraten hast, und zusätzlich noch einiges mehr ans Antivirus-/Antitrojanersoftware über mein Sytem gejagt. Hier mein kleiner Bericht: 1. Zunächst habe die von Dir im letzten Posting angesagten HijackThis Einträge gefixt. 2. Scan mit ANTIVIR -> Keine Funde 3. Scan mit SPYSWEEPER -> Div. Dialer wurden gefunden und in Quarantäne gestellt, der "Trojan-Downloader-Delf" wurde gelöscht 4. Mit TUNEUP 2004 wurde die Registry gesäubert. 5. Nochmal mit HijackThis gescannt (Logfile s. unten) 6. Virenscan mit NOD32 (Logfile s. unten) ---> HIER WURDEN 4 INFIZIERTE OBJEKTE GEFUNDEN 7. Laut TROJAN REMOVER 6.4.3 wurde nicht gefunden. 8. Kompletter Scan mit eSCAN im abgesichterten Modus (Logfile s. unten) ---> 12 VIREN GEFUNDEN Das war erst mal alles. Darf ich Dich vielleicht noch einmal um eine Einschätzung der Lage bitten? Vielleicht ist ja alles gar nicht so schlimm - immerhin läuft mein System recht stabil. Oder kannst Du doch noch irgendwelche Viren, Würmer, Trojaner entdecken? Okidoki, bis dahin viele Grüsse von luxbln ********************************************** Zu Punkt 5. ********************************************** Logfile of HijackThis v1.99.0 Scan saved at 03:15:09, on 15.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Acrobat\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [zBrowser Launcher] C:\WINNT\Treiber\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\WINNT\Treiber\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [cFosDNT] E:\cFos DSL Modem\cFosDNT.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [RemoteControl] "E:\DVD\DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINNT\MXOALDR.EXE O4 - HKLM\..\Run: [MaxtorOneTouch] D:\Matrox\Utils\OneTouch.exe O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\delus.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://tFdwEDWvwdUtDDDg:wgTwtFDDUteU...CamControl.ocx O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe O23 - Service: Retrospect Launcher - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe ********************************************* Zu Punkt 6: ********************************************* Report NOD32 Version 1.940 (20041205) NT C:\pagefile.sys - Fehler (Dateizugriff gesperrt) beim Öffnen. [4] C:\stasxx.chm »CHM »/on-line.exe - Win32/Dialer.CE Trojaner C:\stasxx.chm »CHM »/1.htm - Exploit/CodeBase Trojaner C:\stasxx.chm - mehrere Infektionen - Unter Quarantäne gestellt. C:\Dokumente und Einstellungen\Torsten Falk\Lokale Einstellungen\Anwendungsdaten\Identities\{DD75FCB7-D834-4976-94B0-31E7A7BE834F}\Microsoft\Outlook Express\Posteingang.dbx - Win32/Sober.I Wurm - Unter Quarantäne gestellt. C:\Dokumente und Einstellungen\Torsten Falk\Lokale Einstellungen\Anwendungsdaten\Identities\{DD75FCB7-D834-4976-94B0-31E7A7BE834F}\Microsoft\Outlook Express\Posteingang.dbx »DBX »Von: Fehler_Mail@shatters.net An: soporte@gmx.de Betreff FwD: Mailer-Fehler -2582 Datum Fri, 24 Dec 2004 13:53:16 UTC »MIME »shatters.pif - Win32/Sober.I C:\Dokumente und Einstellungen\Torsten Falk\Lokale Einstellungen\Anwendungsdaten\Identities\{DD75FCB7-D834-4976-94B0-31E7A7BE834F}\Microsoft\Outlook Express\Posteingang.dbx - Win32/Sober.I Wurm - Unter Quarantäne gestellt. Anzahl geprüfter Dateien: 82078 Anzahl infizierter Objekte: 4 Weiterhin infizierte Objekte: 3 Beendet um: 04:13:47 Uhr Benötigte Zeit: 2783 Sek (00:46:23) ******************************************** zu Punkt 8 ******************************************** Sat Jan 15 14:19:22 2005 => ********************************************************** Sat Jan 15 14:19:22 2005 => eScan AntiVirus Toolkit Utility. Sat Jan 15 14:19:22 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc. Sat Jan 15 14:19:22 2005 => Sat Jan 15 14:19:22 2005 => Support: support@mwti.net Sat Jan 15 14:19:22 2005 => Web: http://www.mwti.net Sat Jan 15 14:19:22 2005 => ********************************************************** Sat Jan 15 14:19:22 2005 => Version 4.8.1 (C:\bases\mwavscan.com) Sat Jan 15 14:19:22 2005 => Log File: C:\bases\MWAV.LOG Sat Jan 15 14:19:22 2005 => Windows Root Folder: C:\WINNT Sat Jan 15 14:19:22 2005 => Windows Sys32 Folder: C:\WINNT\system32 Sat Jan 15 14:19:22 2005 => OS: Windows NT Sat Jan 15 14:19:22 2005 => Latest Date of files inside MWAV: 15 Jan 2005 15:01:01. Sat Jan 15 14:19:22 2005 => Options Selected by User: Sat Jan 15 14:19:22 2005 => Memory Check: Enabled Sat Jan 15 14:19:22 2005 => Registry Check: Enabled Sat Jan 15 14:19:22 2005 => StartUp Folder Check: Enabled Sat Jan 15 14:19:22 2005 => System Folder Check: Enabled Sat Jan 15 14:19:22 2005 => System Area Check: Disabled Sat Jan 15 14:19:22 2005 => Services Check: Enabled Sat Jan 15 14:19:22 2005 => Drive Check: Disabled Sat Jan 15 14:19:22 2005 => All Drive Check :Enabled Sat Jan 15 14:19:22 2005 => Folder Check: Disabled Sat Jan 15 15:52:52 2005 => ***** Scanning complete. ***** Sat Jan 15 15:52:52 2005 => Total Files Scanned: 71571 Sat Jan 15 15:52:52 2005 => Total Virus(es) Found: 12 Sat Jan 15 15:52:52 2005 => Total Disinfected Files: 0 Sat Jan 15 15:52:52 2005 => Total Files Renamed: 0 Sat Jan 15 15:52:52 2005 => Total Deleted Files: 0 Sat Jan 15 15:52:52 2005 => Total Errors: 40 Sat Jan 15 15:52:52 2005 => Time Elapsed: 01:33:12 Sat Jan 15 15:52:52 2005 => Virus Database Date: 2005/01/15 Sat Jan 15 15:52:52 2005 => Virus Database Count: 115640 Sat Jan 15 15:52:52 2005 => Scan Completed. --------------------------------------- File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINNT\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken. File C:\stasxx.chm infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken. File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\CRF000\Drivers\COMMON\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken. File D:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken. File D:\WINDOWS\Temp\CTZAPXX\Drivers\COMMON\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken. File E:\Pinnacle\Studio 8\OEM\hfx46studiosilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Downloads Software\Downloads für XP\Soundkarte\AUDDRVPACK_L11.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken. File F:\Downloads Software\Sonstige Programme\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Downloads Software\Soundkarte\AUDDRVPACK_L5_UPT.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken. |
15.01.2005, 17:43 | #6 |
| HJT Logfile -> ??? und stasxx.chm @luxbln speichere diese datei auf diskette, zwecks beweismittel File C:\stasxx.chm infected by "Trojan.Win32.Dialer.ce" Virus hier ein paar infos http://www.sophos.de/virusinfo/analy...aldialera.html diese datei dann in abgesicherten modus manuell löschen neu booten, ein neues HJT logfile hier posten chaosman
__________________ --> HJT Logfile -> ??? und stasxx.chm |
15.01.2005, 18:58 | #7 |
| HJT Logfile -> ??? und stasxx.chm Hi Chaosman! So, habe getan, wie Du mir geraten. Hier die Logdatei: Logfile of HijackThis v1.99.0 Scan saved at 18:42:27, on 15.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\savedump.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE E:\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Acrobat\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [zBrowser Launcher] C:\WINNT\Treiber\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\WINNT\Treiber\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [cFosDNT] E:\cFos DSL Modem\cFosDNT.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [RemoteControl] "E:\DVD\DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINNT\MXOALDR.EXE O4 - HKLM\..\Run: [MaxtorOneTouch] D:\Matrox\Utils\OneTouch.exe O4 - HKLM\..\Run: [SmcService] E:\SYGATE~1\smc.exe -startgui O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://tFdwEDWvwdUtDDDg:wgTwtFDDUteU...CamControl.ocx O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe O23 - Service: Retrospect Launcher - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe O23 - Service: Sygate Personal Firewall Platinum - Sygate Technologies, Inc. - E:\Sygate Firewall\smc.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe Ist diese Datei "stasxx.chm" den gar keine normale Windows-Datei, also ein völliger Fremkörper? Kannst Du vielleicht noch was zu diesen beiden Dateien (vergl. mein letztes Posting) sagen, weiser Mann? :aplaus: File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINNT\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken. |
15.01.2005, 20:22 | #8 |
| HJT Logfile -> ??? und stasxx.chm @luxbln Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" lasse diese dateien C:\WINNT\_MSRSTRT.EXE C:\WINNT\system32\KILLAPPS.EXE bei http://virusscan.jotti.org/de online überprüfen und poste das ergebnis chaosman
__________________ Bonus vir semper tiro |
15.01.2005, 23:02 | #9 |
| HJT Logfile -> ??? und stasxx.chm Hi Chaosman! Vielen Dank für den Tipp. Denke, mein Rechner ist jetzt wieder sauber. Zumindest befindet sich nix richtig bösartiges mehr drauf! Vielen, vielen Dank für Deine / Eure Hilfe! Greetz, luxbln File: KILLAPPS.EXE und File: _MSRSTRT.EXE Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) ---------------------------------------------------------- File: stasxx.chm Status: INFECTED/MALWARE Packers detected: UPX AntiVir No viruses found (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender Exploit.Html.Codebase.Exec.Gen (0.38 seconds taken) ClamAV Dialer-90 (0.36 seconds taken) Dr.Web Trojan.MulDrop.874 (0.52 seconds taken) F-Prot Antivirus No viruses found (0.07 seconds taken) Kaspersky Anti-Virus Trojan.Win32.Dialer.ce (0.68 seconds taken) mks_vir No viruses found (0.20 seconds taken) NOD32 Win32/Dialer.CE, Exploit/CodeBase (0.39 seconds taken) Norman Virus Control No viruses found (0.13 seconds taken) |
16.01.2005, 11:41 | #10 |
| HJT Logfile -> ??? und stasxx.chm @ luxbln File: KILLAPPS.EXE File: _MSRSTRT.EXE File: stasxx.chm C:\WINNT\system32\savedump.exe --> sende diese Dateien bitte gepackt und passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread. Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen kann. Wir würden gerne erfahren, um welche Malware es sich handelt. Fixe diesen Eintrag im abgesicherten Modus bei deaktivierter Systemwiederherstellung, wenn Du ihn nicht kennst/brauchst: O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://tFdwEDWvwdUtDDDg:wgTwtFDDUte...sCamControl.ocx normaler Modus -> Systemwiederherstellung aktivieren -> neu booten. |
16.01.2005, 20:03 | #11 |
| HJT Logfile -> ??? und stasxx.chm Hi Shadowdance! Habe die Dateien an Deinen Kollegen geschickt. Kannst Du die Ergebnisse vielleicht hier posten. Würde mich auch interessieren. Vielen Dank! luxbln P.S.: Die Sache mit der Systemwiederherstellung ist doch nur bei XP relevant, oder? Bei Win 2000 nicht? |
16.01.2005, 21:01 | #12 |
| HJT Logfile -> ??? und stasxx.chm @ luxbln ??? VGA Modus ... eben oder Du steigst um auf windowsXP? |
17.01.2005, 19:32 | #13 |
| HJT Logfile -> ??? und stasxx.chm Hier noch das Ergebnis der Dateien-Analyse von Christian für diejenigen, die das vielleicht interessiert. Damit ist dieser Thread beendet. savedump.exe - harmlos - gehört zu Windows. _msrstrt.ex_ - harmlos - Killapps.ex_ - harmlos - Killapps.exe - nicht überprüfbar, da es eine nur eine Verknüpfung ist. stasxx.chm - Ein illegaler TrojanDialer bzw. Exploit. Diese Datei solltest du auf Diskette zwecks Beweissicherung sichern (fals eine hohe Telefonrechnung kommt). Ich werde diese Datein den Virenschutzherstellern schicken, damit diese künftig die Datei erkennen und entfernen können. Du kannst die Datei im abg. Modus löschen. |
17.01.2005, 20:14 | #14 |
| HJT Logfile -> ??? und stasxx.chm @ luxbln gut, dann erstelle bitte noch ein weiteres Hijack This Logfile und poste es. |
Themen zu HJT Logfile -> ??? und stasxx.chm |
administrator, adobe, antivir, antivir deaktiviert, antivirus, antivirus scan, bho, drivers, dsl, einstellungen, explorer, helfen, hijack, hijackthis, internet, internet explorer, logfile, löschen, microsoft, programme, quara, scan, software, solution, symantec, system, temp, usb, wenig ahnung, windows |