ok, ewido findet ein paar cookies mehr nicht...

im system32 befinden sich jetz wieder folgende files:
i 1kb (vom kaspersky als trojan-downloader...)
eraseme_27322.exe 0kb
eraseme_44550 0kb
ftp.exe,nachdem ich sie umbenannt habe wieder da
ftpupd.exe 0kb aktuell erstellt worden laut geändert am
tftp.exe, die jetzt auch als gestarteter process vorkommt
teskmangr.exe 0kb aktuell erstellt worden laut geändert am
TFTP2312 aktuell erstellt worden laut geändert am
TFTP3704 aktuell erstellt worden laut geändert am
network.exe 0kb vor 1 woche erstellt

die onlinescanner nehmen keine 0kb files...
a² squared findet nix
spybot findet nix
ewido findet nix
kaspersky findet nix

sp2 hab ich nicht drauf, stimmt
aber ich denke sämtliche anderen updates von microsoft

greetz
bastian

@felix1,
dies sind warscheinlich seine geringsten Probleme.

Ich denke, er wird sich unter anderem den hier gefangen haben.
Grund: C:\WINDOWS\System32\GEARSec.exe

karaya

omg volltreffer....

gearsec läuft... hatt mich gefragt was das soll dacht is irgendwas vom ghost

wie bekomme ich den los? gut dass kaspersky diesmal garnix erkennt, bin total enttäuscht

hat gearsec was zu tun mit den ftp.exe usw?

Hallo,
Moment, die gearsec kann auch ganz legitim sein und etwas mit der Brennersoftware zu tun haben. So wie ich die Virenbeschreibung verstehe müßte die gearsec auch als O4 und nicht als O23 Eintrag gestartet werden.
Die ganz normale gearsec wäre das hier



Grüße Wildone

Hallo Wildone,

wollte das auch gerade posten.

dartus

Hallo zwoot,

lade Dir clearprog 1.4.1 final und nimm eine Datenträgerbereinigung vor (Programm starten Häckchen bei "Alles Löschen" und auf "Löschen" klicken). Lösche ebenfalls den Quaratäne-Ordener Deines Antivir-Programmes.
Scanne dann Dein System mit Escan . Bitte erst aufmerkam lesen und dann scannen. Teile das Ergebnis mittels der "find.bat" mit.

dartus

Hallo,
@dartus
Escan wird wahrscheinlich wenig bringen wenn sein normales AV schon Kaspersky ist, und nichts findet, ein Versuch kann alerdings nicht schaden.
@zwoot
Also irgendwie habe ich bei deinem System ein ganz schlechtes Gefühl, läßt sich zwar bisher nicht belegen, aber irgendwas ist da hochgradig faul.
Untersuche mal dein System mit Silentrunner und poste das Log.
Und mache vielleicht nochmal zusätzlich einen Onlinescan bei Panda
Und gleich mal vorsorglich gefragt, ich habe gesehen das du Norton Ghost auf deinem System hast, hast du ein sauberes Image gesichert?



Grüße Wildone

also, hab soeben ein image aufgespielt...
leider sind die probleme auch da schon vorhanden.

weiss jemand zu welchem trojaner diese dateien gehören?
i,eraseme_XXXXX.exe,ftpupd.exe,network.exe,TFTPXXX,
zum glück is diese komische teskmngr.exe nicht dabei...
und im msconfig unter systemstart ist eine zeile komplett leer, nur der reg pfad
currentversion/run

dort finde ich aber lediglich normale dienste, bis auf bei standart steht beim wert garnichts... bei allen anderen standart schlüsseln aber immer wert nicht gesetzt...

unter shell extensions(currentversion) finde ich ein key meltme, der die eraseme exe ausführt....

also ich probiers jetzt noch alle einträge von hand zu löschen und hoffen der trojaner schreibts nicht alles wieder rein...
dazu müsst ich halt wissen was alles wichtig is und gelöscht werden muss...(siehe dateien oben , z.b.)


hier noch die log


"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"DrvMon.exe" = "C:\WINDOWS\System32\DrvMon.exe" ["Alcor Micro, Corp."]
"TuneUp MemOptimizer" = ""C:\Programme\TuneUp2004\memoptimizer.exe" autostart" ["TuneUp Software GmbH"]
"Steam" = ""d:\steam\steam.exe" -silent" ["Valve Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SmcService" = "C:\PROGRA~1\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."]
"KAVPersonal50" = "C:\Programme\KAV5\kav.exe /minimize" ["Kaspersky Labs"]
"CloneCDTray" = ""C:\Programme\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."]
"DAEMON Tools-1033" = ""C:\Programme\Daemon\daemon.exe" -lang 1033" ["DAEMON'S HOME"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"(Default)" = (empty string)
"Norton Ghost 9.0" = "C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp2004\sdshelex.dll"" ["TuneUp Software GmbH"]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
INFECTION WARNING! taskmgr.exe\Debugger = "C:\Programme\TuneUp2004\PMLauncher.exe" ["TuneUp Software GmbH"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\KAV5\shellex.dll" ["Kaspersky Labs"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp2004\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp2004\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\KAV5\shellex.dll" ["Kaspersky Labs"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp2004\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\Programme\ICQ\ICQ.exe" ["ICQ Inc."]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]
GEARSecurity, GEARSecurity, "C:\WINDOWS\System32\GEARSec.exe" ["GEAR Software"]
kavsvc, kavsvc, "C:\Programme\KAV5\kavsvc.exe" ["Kaspersky Labs"]
Norton Ghost, Norton Ghost, "C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe" ["Symantec Corporation"]
Sygate Personal Firewall, SmcService, "C:\Programme\SPF\smc.exe" ["Sygate Technologies, Inc."]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 52 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 9 seconds.
---------- (total run time: 84 seconds)