weiter gehts,

Trojan-Downloader.Win32.INService.gen hat sich auf eine dvd mitgebrannt.

wurde von kaspersky erkannt.

bitte überprüft doch mal einer das log, hab es neu gemacht.

hi, ich habe bei einer trojaner-verseuchung meines rechners meine daten noch gerettet und auf dvd gebrannt. dabei hat sich ein trojaner mitgebrannt.

ich hatte da nur antivir,AVG und microsoft antispyware beta1.

jetzt habe ich daten von dieser dvd gebraucht, habe allerdings jetzt kaspersky als antivir, dieser hat einen trojaner auf einer dvd erkannt nachdem ich die dvd zuallererst mal gecheckt habe.

wie gehe ich damit um ?
kann ich die daten jetzt vergessen ?

Hallo,

welcher Trojaner wurde in welchem Pfad von KAV erkannt?
Wenn es sich um keinen Fehlalarm handeln sollte, dann sind somit die Daten/Dateien auf deiner DVD nicht mehr vertrauenswürdig. Also ein Fall für die Mülltonne.
Aber das werden wir sehen...

EDIT:
Es wäre für uns alle sinnvoller weil übersichtlicher, wenn du nicht ständig zig Threads öffnen würdest!
Glaubst du wirklich, daß wir da noch einen Zusammenhang verstehen können und die Member alle deine Threads sorgfältig durchlesen?! Vom Zeitfaktor ganz zu schweigen...

Darum werde ich alle drei Threads, der Übersichtlichkeit wegen, zusammenführen!

Hi,

dein Logfile sieht imho unbedenklich aus,

Zitat:

wie schaut es mit der einwahlsaoftware aus "winpoet" ?
ich gehe über router ins netz, brauch ich die auf meinem rechner ?

die Frage kann ich dir leider nicht beantworten, da ich damit noch nicht gearbeitet habe. Aber was du brauchst ist ein Windowsupdate
Du solltest unbedingt Dein System updaten
Windowsupdate oder CD-Bestellung SP2

hi cidre, ich dachte(ja) halt nur, das die HJT logfiles in einen anderen fred gehören.

thx gigamail, ich bin nicht so ganz von SP2 überzeugt. ist das wirklich von nöten (firewall)? habe alle updates von SP1 installiert.

gefunden von kaspersky auf DVD:

F:\DivX_Pro_v5[1].2.1 (xxx.crack.cd).zip - änderung der attribute nicht möglich, schreibgeschützt

F:\DivX_Pro_v5[1].2.1 (xxx.crack.cd).zip\lvn.exe - ist das trojanische programm Trojan-Downloader.Win32.INService.gen

F:\DivX_Pro_v5[1].2.1 (xxx.crack.cd).zip\lvn.exe - objekt wurde nicht desinfiziert, option "nur protokollieren" wurde gewählt

was ich an anderer stelle in diesem board noch gelesen habe, ich habe mehrere webseiten, können die jetzt auch verseucht sein ? was mache ich damit ?

gruß

kaspersky hat nun die HTPatch.exe entfernt.

keine ahnung ob ich die wirklich brauche.

sodele

guten tag

ich habe meinen PC nun nochmal neu aufgesetzt.

router
firefox inst
kaspersky inst
antispyware beta1 inst
xp updates
xp sp2
xp updates
outlook deinst
messenger deinst
tuneup utilities 2004 inst

nun mein HJT logfile

Logfile of HijackThis v1.99.1
Scan saved at 10:30:14, on 06.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Java\jre1.5.0_04\bin\javaw.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - xxxx://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - xxxx://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120585469140
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

wenn mir bitte bitte einer sagen kann, wie ich den eintrag vom messenger sowie von winstyler(habe ich aus versehen inst, dann wieder deinst) weg bekomme.

Zitat:

O23 - Einträge sollten erst gefixed werden, wenn zuvor der Dienst beendet wurde: Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf z.B. Remote Procedure Call (RPC) Helper -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen

Quelle: http://www.trojaner-board.de/showthread.php?t=17493

In deinem Fall ist es TuneUp WinStyler Theme Service (TUWinStylerThemeSvc).

Anschließend solltest du diese Einträge fixen:

Zitat:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Ach ja, die MS Produktaktivierung steht noch aus.

thx cidre

ich wollte den dienst winstyler wie beschrieben beenden, aber bei diensstatus stand 'beendet', also konnte ich nicht auf beenden klicken. habe es dann so übernommen, den HJT nochmal laufen lassen, und der eintrag war weg.

dann habe ich die beiden 09 einträge angehakt und auf fixed dingsbumens geklickt, schwubs waren sie weg.

hier mein neuer HJT log:

Logfile of HijackThis v1.99.1
Scan saved at 18:16:02, on 06.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Java\jre1.5.0_04\bin\javaw.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - xxxx://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - xxxx://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120585469140
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

gruß psoido

hi leute !

ich brauche schon wieder eure hilfe

ich krieg die krise

schon wieder trojaner

microsoft antispyware beta 1 hat erkannt und scheinbar nichts machen können

d:\software\wrar342d.exe\uninstall.exe ist das trojanische programm backdoor.win32.poebot.d

kaspersky hat er kannt und ins backup verschoben:

d:\software\wrar342d.exe\uninstall.exe ist das trojanische programm backdoor.win32.poebot.d

d:\software\wrar342d.exe ist das trojanische programm backdoor.win32.poebot.d

backup habe ich gelöscht

hier mein logfile

Logfile of HijackThis v1.99.1
Scan saved at 10:57:08, on 18.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Java\jre1.5.0_04\bin\javaw.exe
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120585469140
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

gruß

Zitat:

d:\software\wrar342d.exe\uninstall.exe ist das trojanische programm backdoor.win32.poebot.d

Kein Grund zur Besorgnis...

Hier handelt es sich um einen Fehlalarm!

Zitat:

Zitat von psoido

microsoft antispyware beta 1 hat erkannt und scheinbar nichts machen können

d:\software\wrar342d.exe\uninstall.exe ist das trojanische programm backdoor.win32.poebot.d

kaspersky hat er kannt und ins backup verschoben:

d:\software\wrar342d.exe\uninstall.exe ist das trojanische programm backdoor.win32.poebot.d

d:\software\wrar342d.exe ist das trojanische programm backdoor.win32.poebot.d

Das riecht für mich stark nach Fehlalarm. Woher hast du die Datei?

edit: Guten Morgen, Cidre!

Gruß
Yopie

die datei habe ich von der winrar webseite

http://www.winrar.de/

aber schon mehrere tage drauf und auch installiert

spyware beta 1 macht jeden tag einen scan

kaspersky macht jeden tag einen scan


noch n paar fragen:

was ist das ? :
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (das gefällt mir überhaupt garnicht)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 ( ich habe xp schon
aktiviert)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (wieso steht hiewr unknown ? )

gruß

Zitat:

Zitat von psoido

die datei habe ich von der winrar webseite

http://www.winrar.de/

aber schon mehrere tage drauf und auch installiert

Was mal wieder zeigt, dass Verstand durch nichts zu ersetzen ist. Auch nicht durch Sicherheitsprogramme.

Zitat:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (das gefällt mir überhaupt garnicht)

Die Acrobat-Reader-Erweiterung für den IE. Ungefährlich.

Zitat:

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 ( ich habe xp schon aktiviert)

Irgendwas von MS. Trotzdem ungefährlich. Du kannst aber generell Einträge unter 016 immer löschen, sie werden dann nur bei Bedarf erneut runtergeladen. Einträge unter 016 sind immer harmlos. Die Einträge haben nur einen Informationswert.

Zitat:

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (wieso steht hiewr unknown ? )

Keine Ahnung. Das wird aber wohl was für deine Grafikkarte sein.

Gruß
Yopie