| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32:Trojan-gen. {Other}Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.04.2005, 20:57
| #1 |
 |  Win32:Trojan-gen. {Other} hallo hallo! habe mir 2 viren eingefangen, beide haben die selbe datei an zwei unterschiedlichen orten:WINDOWS/system32 und Dokumente und Einstellungen/Ich befallen, warum und wieso weiss ich nicht, ich frage mich sowieso schon lange warum es sowas überhaupt gibt...... das ich sowas habe hat mir avast gesteckt... leider wurde ich beraten die datei mit dem virus in einen container zu versch. und nicht wie man diesen virus los wird... nun habe ich ein wenig hier und da gesucht und mal versucht hijack this zu installieren, geht leider aus mir unbekannten gründen nicht... die installation bricht immer ohne kommentar ab. nun würde ich gerne wissen: ist der virus gefährlich? was tut er? und was tut die datei die er befallen hat? tut sie es immernoch? löschen/retten? wie? avast info: Datei-Name: msdirectx.sys DateiID: 8 Virus-Beschreibung: Win32:Trojan-gen. {Other} vielen dank gaga9 |
|
25.04.2005, 21:09
| #2 |
  | Win32:Trojan-gen. {Other} Erstelle einen Log mittels HijackThis und poste ihn hier im Board:
__________________Scanne dein System zusätzlich im abgesicherten Mods bei deaktivierter Systemwiederherstellung (falls du XP oder ME nutzt): http://www.systemwiederherstellung-deaktivieren.de Befolge die Anleitung genau. Teile uns auch die Ergebnisse von Escan mit, dazu Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.
__________________ |
|
26.04.2005, 00:35
| #3 |
| | Win32:Trojan-gen. {Other} hallo! gracias erstmal für die umfangreichen infos! ich hoffe meine sind nun genauso ergibig, zuerst habe ich im normalen zustand (nicht abgesichert) hijackthis ausgeführt, text unten, dann abgesicherter zustand, systemw. aus und escan an. text unten, die datei an deinem link war nicht zu öffnen, fehlt vielleicht auch wieder die .endung... könntest du mir sagen welche und wie ich dann jetzt was wiederholen müsste deas logfile von escan war extrem lang, wenn ihr etwas bestimmtes daraus braucht kann ich es noch senden... danke...... übrigends ist mein rechner auch recht gaga desktop verschwindet nach einiger zeit, programme wollen nicht beendet werden....
__________________Logfile of HijackThis v1.99.1 Scan saved at 23:29:40, on 25.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\S24EvMon.exe D:\WINDOWS\system32\ZCfgSvc.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\1XConfig.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Intel\NCS\PROSet\PRONoMgr.exe D:\Programme\Apoint\Apoint.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\Programme\QuickTime\qttask.exe D:\Programme\Java\j2re1.4.2_08\bin\jusched.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\Apoint\Apntex.exe D:\Programme\Alwil Software\Avast4\aswUpdSv.exe D:\Programme\Alwil Software\Avast4\ashServ.exe D:\WINDOWS\System32\RegSrvc.exe D:\WINDOWS\System32\SCardClnt.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Alwil Software\Avast4\ashWebSv.exe D:\Programme\Alwil Software\Avast4\ashMaiSv.exe D:\Dokumente und Einstellungen\AKROPOLIS1\Desktop\HijackThis.exe.exe D:\PROGRA~1\MOZILL~1\FIREFOX.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.com O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [PRONoMgr.exe] D:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [Apoint] D:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_08\bin\jusched.exe O4 - HKLM\..\Run: [svshost32] svshost32.exe O4 - HKLM\..\RunServices: [svshost32] svshost32.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [svshost32] svshost32.exe O4 - HKCU\..\RunServices: [svshost32] svshost32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Yahoo! Search - file:///D:\Programme\Yahoo!\Common/ycsrch.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Yahoo! &Dictionary - file:///D:\Programme\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! &Maps - file:///D:\Programme\Yahoo!\Common/ycdict.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_08\bin\npjpi142_08.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_08\bin\npjpi142_08.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110912241087 O20 - Winlogon Notify: Sebring - D:\WINDOWS\System32\LgNotify.dll O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - D:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: RegSrvc - Intel Corporation - D:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - D:\WINDOWS\System32\S24EvMon.exe O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - D:\WINDOWS\System32\SCardClnt.exe File D:\WINDOWS\System32\SCardClnt.exe infected by "Backdoor.Win32.Codbot.z" Virus. Action Taken: No Action Taken. File D:\WINDOWS\system32\svshost32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File D:\DOKUME~1\AKROPO~1\MSDIRE~1.SYS infected by "Trojan.Win32.Rootkit.h" Virus. Action Taken: No Action Taken. File D:\WINDOWS\System32\SCardClnt.exe infected by "Backdoor.Win32.Codbot.z" Virus. Action Taken: No Action Taken. File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\email.exe infected by "Backdoor.Win32.Rbot.mg" Virus. Action Taken: No Action Taken. Tue Apr 26 00:47:49 2005 => Total Virus(es) Found: 6 Tue Apr 26 00:47:49 2005 => Total Disinfected Files: 0 Tue Apr 26 00:47:49 2005 => Total Files Renamed: 0 Tue Apr 26 00:47:49 2005 => Total Deleted Objects: 0 Tue Apr 26 00:47:49 2005 => Total Errors: 2 Tue Apr 26 00:47:49 2005 => Time Elapsed: 00:15:56 Tue Apr 26 00:47:47 2005 => Scanning D:\ Drive Tue Apr 26 00:47:49 2005 => ***** Scanning complete. ***** Tue Apr 26 00:47:49 2005 => Virus Database Date: 2005/04/25 Tue Apr 26 00:47:49 2005 => Virus Database Count: 127328 Tue Apr 26 00:47:49 2005 => Scan Completed. |
|
26.04.2005, 01:01
| #4 |
| | Win32:Trojan-gen. {Other} Du hast massive Probleme: Neben Rbot und Codbot läuft auch noch ein Rootkit. Setze dein System schnellstmöglich gemäß folgendem Link neu auf: http://www.trojaner-board.de/showthread.php?t=12154 Alles andere (Bereinigung etc.) ist bezüglich deiner Sicherheit nicht zu vertreten. Warum eine Bereinigung hier keinen Erfolg haben kann: http://www.mathematik.uni-marburg.de...al.html#sec2.5 Was alleine Vertreter der Rbot-Familie mit deinem Rechner anstellen können: http://www.dradio.de/dlf/sendungen/wib/253543/
__________________  Only cronos endures |
|
26.04.2005, 12:19
| #5 |
| | Win32:Trojan-gen. {Other} hallo cronos ok... ich hatte mir schon gedacht das evtl ein neues system einfacher und besser waere...... nun ist das nicht so ein grosses problem da C/D partition.... wie kann ich die daten von D sicher überprüfen, ich habe eine weitere exerne platte.... danke gaga9 |
|
26.04.2005, 12:26
| #6 |
| | Win32:Trojan-gen. {Other} Du solltest beide Partitionen formatieren Hier noch ein Kommentar zur Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11
__________________ --> Win32:Trojan-gen. {Other} |
|
26.04.2005, 13:56
| #7 |
| | Win32:Trojan-gen. {Other} hallo cronos ..... ich habe natürlich noch angst dass irgendetwas kaputt (hardware) gegangen sein könnte.... hast du vielleicht einen programmtip zur ueberprüfung des prozessors, festplatte usw. ich kenne das nur für mac und bin ganz neu im pc buisness und direkt abgeledert worden, vielen dank gaga9 |
|
26.04.2005, 14:06
| #8 |
| | Win32:Trojan-gen. {Other} Guckst mal hier: http://www.wintotal.de/softw/index.php?rb=1038 Aber warum sollte etwas mit der Hardware sein?
__________________ Only cronos endures |
|
26.04.2005, 14:12
| #9 |
| | Win32:Trojan-gen. {Other} ich hatte schon mal ein virusproblem, da kam auch avastmeldung/containerverschiebung..... danach wollte der rechner nicht mehr viel machen, alles sehr sehr langsam und später fuhr er nicht mal mehr hoch und meldete einen hardwareschaden nr. sowieso, nun dann habe ich alles neu aufgespielt, bis auf D partition, das werde ich jetzt nachholen...... wie der jetzige virus kam ist auch schön: ich habe xp um rat gefragt welche internet verbindung ich nutzen könnte, mir wurde eine liste angeboten, ich habe msn easysurf gewählt zehn sekunden später avast meldung... das schwein ist ohne firewall ins netz gegangen, naja vielleicht habe ich auch etwas falsch gemacht, ich werde jetzt mal alles so angehen wie es in den links von dir steht.... danke |
|
29.04.2005, 01:34
| #10 |
| | Win32:Trojan-gen. {Other} hallo hallo..... ich habe jetzt mal alles gelöscht und neu aufgespielt, escan erneut heruntergeladen (auf einem anderen rechner) und mal nachgesehen... alles ok im kleineren window bis auf das hier: File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. nun habe ich alles nochmal neu installiert und wieder das selbe..... hat jemand eine ahnung wie ich dieses los werden könnte? vielen dank gaga9 |
|
29.04.2005, 13:04
| #11 |
| | Win32:Trojan-gen. {Other} Du lädst dir Spybot und Adaware runter.Führst diese im abgesicherten Modus bei deaktivierter Systemwiederherstellung aus.Entfernst alles gefundene, immunisierst zusätzlich mit Spybot, bootest neu und aktivierst die Systemwiederherstellung.
__________________ Only cronos endures |
|
30.04.2005, 17:25
| #12 |
| | Win32:Trojan-gen. {Other} hallo! habe mehrfach alles neu installiert und versucht die infizierten dateien ausfindig zu machen, mit escan HijackThis adaware und spybot im abgesicherten modus, bei dem einen alexa virus gelingt es mir irgendwie nicht heraus zu finden wo das file ist, alle anderen habe ich immer gelöscht, kommen aber teilweise auch wieder, was kann ich tun???? seltsamseltsam das Logfile of HijackThis v1.99.1 Scan saved at 14:49:08, on 30.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\msiexec.exe C:\WINDOWS\System32\CTFMON.EXE C:\Dokumente und Einstellungen\achim\Lokale Einstellungen\Temp\Tempor‰res Verzeichnis 1 f¸r hijackthis.zip\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm adaware: Vendor:Alexa Category  ata MinerObject Type:RegValue Size:18 Bytes Location:...\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "ButtonText" Last Activity:30.04.2005 Risk Level:Low TAC index:5 Comment: Description:Installed with Internet Explorer and some Microsoft updates. Alexa is the "What's Related links" feature on your Internet Explorer toolbar. Alexa technology uses a 'web crawler' (bot) only when the toolbar is in use. escan: Sat Apr 30 17:40:46 2005 => ***** Checking for specific ITW Viruses ***** Sat Apr 30 17:40:46 2005 => Checking for Welchia Virus... Sat Apr 30 17:40:46 2005 => Checking for LovGate Virus... Sat Apr 30 17:40:46 2005 => Checking for CodeRed Virus... Sat Apr 30 17:40:46 2005 => Checking for OpaServ Virus... Sat Apr 30 17:40:46 2005 => Checking for Sobig.e Virus... Sat Apr 30 17:40:46 2005 => Checking for Winupie Virus... Sat Apr 30 17:40:46 2005 => Checking for Swen Virus... Sat Apr 30 17:40:46 2005 => Checking for JS.Fortnight Virus... Sat Apr 30 17:40:46 2005 => Checking for Novarg Virus... Sat Apr 30 17:40:46 2005 => Checking for Pagabot Virus... Sat Apr 30 17:40:46 2005 => Checking for Parite.b Virus... Sat Apr 30 17:40:46 2005 => Checking for Parite.a Virus... Sat Apr 30 17:40:46 2005 => ***** Scanning complete. ***** Sat Apr 30 17:40:46 2005 => Total Objects Scanned: 13020 Sat Apr 30 17:40:46 2005 => Total Virus(es) Found: 1 Sat Apr 30 17:40:46 2005 => Total Disinfected Files: 0 Sat Apr 30 17:40:46 2005 => Total Files Renamed: 0 Sat Apr 30 17:40:46 2005 => Total Deleted Objects: 0 Sat Apr 30 17:40:46 2005 => Total Errors: 3 Sat Apr 30 17:40:46 2005 => Time Elapsed: 00:15:35 Sat Apr 30 17:40:46 2005 => Virus Database Date: 2005/04/25 Sat Apr 30 17:40:46 2005 => Virus Database Count: 127328 Sat Apr 30 17:40:46 2005 => Scan Completed. File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. |
|
30.04.2005, 17:28
| #13 | ||
| | Win32:Trojan-gen. {Other}Zitat:
Zitat:
|
|
30.04.2005, 18:00
| #14 |
| | Win32:Trojan-gen. {Other} und dann? gelöscht ist, mit spybot finde ich immer wieder etwas: DSO Exploit; ich lösche diese datei, scanne nochmal und sb findet es nun in einem anderen file..... |
|
30.04.2005, 18:05
| #15 |
| | Win32:Trojan-gen. {Other}
__________________ Only cronos endures |
|
| Themen zu Win32:Trojan-gen. {Other} |
| avast, befallen, datei, dokumente, eingefangen, frage, gefährlich, gefährlich?, gen, gesucht, hijack, hijack this, installation, installieren, lange, this, unbekannte, unbekannten, versucht, viren, virus, warum, win, win32, wissen, überhaupt |
Linear-Darstellung
