So kaum das neue system aufgesetzt schon der Nächste klopft an der Tür!
Wie bekomme ich diesen nun wieder los ohne alles wieder neu machen zu müssen?
Kann ich die Quelle des Dreckspacks irgendwie finden?
hicheck:
Logfile of HijackThis v1.99.1
Scan saved at 18:34:49, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\Winamp\Winampa.exe
C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\Programme\Launcher.exe
E:\Programme\ConMgr.exe
E:\Programme\PhoneExplorer.exe
E:\Winamp\winamp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\HijackThis.exe

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "E:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe

Hallo.

1.) Wer hat was und wo gemeldet? Nach Möglichkeit den genauen Pfad posten sowie das Programm welches das Exploit erkannt hat.

2.)

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

E:\Programme\PhoneExplorer.exe

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ep5c5z4p.default\sessionstore-1.js
war avira vor zehn minuten genau zu dem zeitpunkt als ich aufs Trojanerboard gegangen bin.
phone-explorer ist n samsung programm das kurz zuvor installiert worden ist!Orginal Software!

Das ist der Bericht von Virustotal wie schon befürchtet nichts gefunden!

Complete scanning result of "PhoneExplorer.exe", received in VirusTotal at 01.10.2007, 18:58:20 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.10.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.10.2007 no virus found
BitDefender 7.2 01.10.2007 no virus found
CAT-QuickHeal 9.00 01.10.2007 no virus found
ClamAV devel-20060426 01.10.2007 no virus found
DrWeb 4.33 01.10.2007 no virus found
eSafe 7.0.14.0 01.10.2007 no virus found
eTrust-InoculateIT 23.73.110 01.10.2007 no virus found
eTrust-Vet 30.3.3316 01.10.2007 no virus found
Ewido 4.0 01.10.2007 no virus found
Fortinet 2.82.0.0 01.10.2007 no virus found
F-Prot 3.16f 01.10.2007 no virus found
F-Prot4 4.2.1.29 01.10.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.10.2007 no virus found
McAfee 4935 01.09.2007 no virus found
Microsoft 1.1904 01.10.2007 no virus found
NOD32v2 1970 01.10.2007 no virus found
Norman 5.80.02 01.10.2007 no virus found
Panda 9.0.0.4 01.09.2007 no virus found
Prevx1 V2 01.10.2007 no virus found
Sophos 4.13.0 01.10.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.10.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.10.2007 no virus found

Aditional Information
File size: 417792 bytes
MD5: 1c4244da0c8892bac1c47953fa2eb33d
SHA1: 05201f12f117ec46f53a6788e9fa996c608281ea

HTML/Exploit.Mhtml
genauer viren etc name

mOIn

Zitat:

Zitat von rudeboy

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ep5c5z4p.default\sessionstore-1.js
war avira vor zehn minuten genau zu dem zeitpunkt als ich aufs Trojanerboard gegangen bin.
phone-explorer ist n samsung programm das kurz zuvor installiert worden ist!Orginal Software!

ich hab die selbe Meldung schon einige Tage, sie tritt allerdings nur auf wenn ich im Forum etwas poste also in der Textbox schreibe, zu finden ist die Datei sessionstore-1.js auch nicht, die Onlineauswertung bei Virustotal der Datei aus dem Quarantäneordner von Antivir ergibt keine Funde
Ist meiner Meinung nach eine Fehlermeldung.

MFG

Komischerweise wurde kurz danach ein TR/Dldr.Bagle.Q gefunden als ich n Scan übers gesamte System laufen ließ!

Hat sich das Problem nun gelöst?Waren es nur falsch Meldungen?War an meinen logfiles nicht zu erkennen?

Zitat:

Zitat von rudeboy

Komischerweise wurde kurz danach ein TR/Dldr.Bagle.Q gefunden als ich n Scan übers gesamte System laufen ließ!

In welcher Datei hat denn dein AV-Scanner den besagten Trojaner gefunde?

Dein Hijacklog ist meiner Ansicht nach aber sauber, es deutet zumindest nichts auf einen Schädling hin.

Mach aber mal zusätzlich folgendes:

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Sunny