Hallo,

seit zwei Tagen erhalte ich von Antivir eine Trojanermeldung:
Bezeichnung des Trojaners: TR/Tibs.E

Könnt Ihr irgendetwas entdecken???


Logfile of HijackThis v1.99.1
Scan saved at 21:09:36, on 15.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Ronny\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Ronny's Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B05B191-53E0-4358-A17C-33C81A8C0672}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Gruß,
Ron78

In welchem Verzeichnis findet AntiVir den Trojaner?
Bis auf ein paar unnötige (aber ungefährliche) Sachen hab ich nichts Auffälliges dem Logfile entnehmen können.

Zitat:

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

Hallo,

lade Dir smitrem und führe die runthis aus.

Poste dannach den Inhalt der vier Logs der datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren.

Gruß

Schrulli

Hallo Cosinus,

hab heute wieder eine Trojanermeldung von AntiVir erhalten.

C:\WINDOWS\system32\cchiinfk.cnu
[FUND] Ist das Trojanische Pferd TR/Click.Small.JS.8

Die Datei habe ich sofort gelöscht.

Hallo Schrulli,

hier die vier Logs der datfind.bat für die letzten drei Monate:

Verzeichnis von C:\WINDOWS\system32

16.05.2006 20:08 7.883 nvapps.xml
14.05.2006 19:49 2.206 wpa.dbl
04.05.2006 06:26 5.818.784 MRT.exe
04.04.2006 11:20 198.552 FNTCACHE.DAT
30.03.2006 11:27 1.495.040 shdocvw.dll
30.03.2006 03:52 25.600 xpsp3res.dll
26.03.2006 20:01 380.486 perfh009.dat
26.03.2006 20:01 52.900 perfc009.dat
26.03.2006 20:01 391.330 perfh007.dat
26.03.2006 20:01 63.778 perfc007.dat
26.03.2006 20:01 897.954 PerfStringBackup.INI
23.03.2006 22:33 3.076.608 mshtml.dll
18.03.2006 13:07 616.448 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:47 8.495.616 shell32.dll
17.03.2006 03:05 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 06:00 669.184 wininet.dll
04.03.2006 06:00 474.624 shlwapi.dll
04.03.2006 06:00 532.480 mstime.dll
04.03.2006 06:00 39.424 pngfilt.dll
04.03.2006 06:00 448.512 mshtmled.dll
04.03.2006 06:00 146.432 msrating.dll
04.03.2006 06:00 251.904 iepeers.dll
04.03.2006 06:00 96.768 inseng.dll
04.03.2006 06:00 205.312 dxtrans.dll
04.03.2006 06:00 1.056.256 danim.dll
04.03.2006 06:00 55.808 extmgr.dll
04.03.2006 06:00 152.064 cdfview.dll
04.03.2006 06:00 1.022.976 browseui.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
14.02.2006 10:20 550.120 LegitCheckControl.dll


Verzeichnis von C:\DOKUME~1\Ronny\LOKALE~1\Temp

16.05.2006 20:18 408 jusched.log
23.01.2006 15:36 429 datFind.bat


Verzeichnis von C:\WINDOWS

16.05.2006 20:17 50 wiaservc.log
16.05.2006 20:17 157 wiadebug.log
16.05.2006 20:09 0 0.log
16.05.2006 20:09 1.915.270 WindowsUpdate.log
16.05.2006 20:08 2.048 bootstat.dat
16.05.2006 20:07 32.628 SchedLgU.Txt
16.05.2006 17:55 189.940 setupact.log
10.05.2006 23:40 71.005 iis6.log
10.05.2006 23:40 25.942 ocmsn.log
10.05.2006 23:40 1.374 imsins.log
10.05.2006 23:40 15.100 KB913580.log
10.05.2006 23:40 160.610 comsetup.log
10.05.2006 23:40 183.725 tsoc.log
10.05.2006 23:40 97.496 ntdtcsetup.log
10.05.2006 23:40 244.716 ocgen.log
10.05.2006 23:40 23.880 msgsocm.log
10.05.2006 23:40 460.143 FaxSetup.log
10.05.2006 23:40 850.112 setupapi.log
10.05.2006 23:40 23.578 updspapi.log
09.05.2006 20:52 56.048 wmsetup.log
01.05.2006 22:41 45.843 CSTBox.INI
29.04.2006 11:27 116 NeroDigital.ini
28.04.2006 12:37 1.374 imsins.BAK
28.04.2006 12:37 14.432 KB900485.log
22.04.2006 00:05 6.104 ModemLog_Bluetooth DUN Modem.txt
22.04.2006 00:05 6.098 ModemLog_Bluetooth Fax Modem.txt
17.04.2006 15:19 1.830 spupdsvc.log
17.04.2006 15:17 23.202 KB908531.log
17.04.2006 15:17 19.140 KB911562.log
17.04.2006 15:16 34.604 KB912812.log
17.04.2006 15:16 14.234 KB911565.log
17.04.2006 15:16 15.098 KB911567.log
01.03.2006 18:30 6.799 WGA.log
28.02.2006 21:07 21 TemplateWizard.INI
14.02.2006 22:08 6.658 KB911564.log
14.02.2006 22:08 11.866 KB911927.log
14.02.2006 22:08 13.875 KB913446.log


Verzeichnis von C:\

16.05.2006 21:32 0 sys.txt
16.05.2006 21:32 8.364 system.txt
16.05.2006 21:32 342 systemtemp.txt
16.05.2006 21:32 92.168 system32.txt
16.05.2006 20:08 1.610.612.736 pagefile.sys
16.05.2006 17:55 3.099 smitfiles.txt
16.05.2006 17:46 50.661 trojanermeldung.JPG
15.05.2006 19:30 139.285 rate mal.JPG
03.05.2006 15:40 202.200 Wenn_die_Zigarettenpreise_weiter_steigen.gif
21.03.2006 08:45 637.728 kette.JPG
07.03.2006 22:45 91.397 vogelgrippe.jpg
03.02.2006 15:32 1.210 Debug.txt

Gruß,
Ron78