| |
| |||||||
Log-Analyse und Auswertung: Bitte um Überprüfung / SpyBanker.cnx.4 gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.05.2007, 19:33
| #1 |
| |  Bitte um Überprüfung / SpyBanker.cnx.4 gefunden Hallo. Bitte um Überprüfung des Log-Files. AntiVir hat auf meinem PC dem Trojaner TR/SpyBanker.cnx.4 gefunden. Danke für eure Hilfe. Logfile of HijackThis v1.99.1 Scan saved at 20:20:16, on 08.05.2007 Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CPUCooL\CooLSrv.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\Programme\SiteAdvisor\6066\SAService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\Programme\SiteAdvisor\6066\SiteAdv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\RAMASST.exe C:\Programme\ScanWizard 5\ScannerFinder.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WISO Internet Security\avguard.exe C:\Programme\WISO Internet Security\avesvc.exe C:\Programme\WISO Internet Security\avmailc.exe C:\Programme\WISO Internet Security\avgnt.exe C:\Programme\WISO Internet Security\sched.exe C:\Programme\WISO Internet Security\avfwsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HijackTHis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll O2 - BHO: (no name) - {37B85A21-692B-4205-9CAD-2626E4993404} - (no file) O2 - BHO: Helper Class - {60FD4F58-4748-48f6-B661-5FCE71B0D907} - C:\WINDOWS\system32\torm.dll (file missing) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - H:\FlashFXP\IEFlash.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6066\SiteAdv.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: WISO Internet Security AntiVir Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\WISO Internet Security\avfwsvc.exe O23 - Service: WISO Internet Security AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\WISO Internet Security\avmailc.exe O23 - Service: WISO Internet Security AntiVir Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\WISO Internet Security\sched.exe O23 - Service: WISO Internet Security AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\WISO Internet Security\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: WISO Internet Security AntiVir MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\WISO Internet Security\avesvc.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programme\SiteAdvisor\6066\SAService.exe |
|
08.05.2007, 20:20
| #2 | |||
  | Bitte um Überprüfung / SpyBanker.cnx.4 gefunden Fixen:
__________________Fix mit HijackThis im abgesicherten Modus folgende Einträge: Zitat:
Zitat:
Anleitung Dann guck mal ob die Datei noch vorhanden ist: Zitat:
|
|
08.05.2007, 21:28
| #3 |
| | Bitte um Überprüfung / SpyBanker.cnx.4 gefunden Hi Apokalypt. Erstmal vielen Dank für die Hilfe. AntiVir hat zwei Funde gehabt:
__________________1. In der Datei 'C:\WINDOWS\system32\torm.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Banker.cnx.4' [TR/Spy.Banker.cnx.4] gefunden. Ausgeführte Aktion: Datei löschen 2. In der Datei 'C:\System Volume Information\_restore{9328C9FD-54F3-42FE-9D0D-4DDBC1D2A021}\RP115\A0025157.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Banker.cnx.4' [TR/Spy.Banker.cnx.4] gefunden. Ausgeführte Aktion: Datei löschen Die Datei torm.dll ist nicht mehr da. In den Ordner C:\System Volume Information komm ich nicht rein. Habe die 7 von dir erkannten Stellen im abgesichrten Modus gefixt. Systemwiederherstellung habe ich deaktiviert. Hier das neue Logfile: Logfile of HijackThis v1.99.1 Scan saved at 22:31:37, on 08.05.2007 Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\WISO Internet Security\avfwsvc.exe C:\Programme\WISO Internet Security\sched.exe C:\Programme\WISO Internet Security\avguard.exe C:\Programme\WISO Internet Security\avesvc.exe C:\Programme\CPUCooL\CooLSrv.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\SiteAdvisor\6066\SAService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\WISO Internet Security\avmailc.exe C:\Programme\Winamp\winampa.exe C:\Programme\SiteAdvisor\6066\SiteAdv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\RAMASST.exe C:\Programme\ScanWizard 5\ScannerFinder.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HijackTHis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll O2 - BHO: (no name) - {37B85A21-692B-4205-9CAD-2626E4993404} - (no file) O2 - BHO: (no name) - {60FD4F58-4748-48f6-B661-5FCE71B0D907} - (no file) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6066\SiteAdv.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: WISO Internet Security AntiVir Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\WISO Internet Security\avfwsvc.exe O23 - Service: WISO Internet Security AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\WISO Internet Security\avmailc.exe O23 - Service: WISO Internet Security AntiVir Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\WISO Internet Security\sched.exe O23 - Service: WISO Internet Security AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\WISO Internet Security\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: WISO Internet Security AntiVir MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\WISO Internet Security\avesvc.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programme\SiteAdvisor\6066\SAService.exe |
|
09.05.2007, 22:52
| #5 |
| | Bitte um Überprüfung / SpyBanker.cnx.4 gefunden Hi Apocalypt. Hier das Ergebnis: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.05.07.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.2 Sprache: German C:\Dokumente und Einstellungen\W****r\Lokale Einstellungen\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with mysearch hijacker Spyware/Adware ({37b85a21-692b-4205-9cad-2626e4993404})! Action taken: Keine Aktion vorgenommen. System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen. System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen. System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen. System found infected with ovagur Virus (C:\DOKUME~1\W****r\LOKALE~1\Temp\tmp107.tmp)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\W****r\Desktop\D****n**\Desktop\Dreambox\icqflood.zip/ICQFLOOD.EXE//ExePack infiziert von "IM-Flooder.DOS.ICQFlooder.10" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOKUME~1\W****r\LOKALE~1\Temp\Del17E.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOKUME~1\W****r\LOKALE~1\Temp\Del17F.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOKUME~1\W****r\LOKALE~1\Temp\Del180.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOKUME~1\W****r\LOKALE~1\Temp\Del181.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOKUME~1\W****r\LOKALE~1\Temp\Del19C.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOKUME~1\W****r\LOKALE~1\Temp\Del19F.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\W****r\Desktop\D****n**\Desktop\Dreambox\icqflood.zip/ICQFLOOD.EXE//ExePack infiziert von "IM-Flooder.DOS.ICQFlooder.10" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\W****r\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive.pst/Archivordner\Höchste Ebene der Persönlichen Ordner\Gelöschte Objekte\[From:Service@yahoo.com][Subject:Ihre neuen Account-Daten][Time:2004/11/21 19:02:... infiziert von "Email-Worm.Win32.Sober.i" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\W****r\Lokale Einstellungen\Temp\Del17E.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\W****r\Lokale Einstellungen\Temp\Del17F.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\W****r\Lokale Einstellungen\Temp\Del180.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\W****r\Lokale Einstellungen\Temp\Del181.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\W****r\Lokale Einstellungen\Temp\Del19C.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\W****r\Lokale Einstellungen\Temp\Del19F.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-796845957-764733703-1957994488-1011\Dc1\Lokale Einstellungen\Temp\Del20.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-796845957-764733703-1957994488-1011\Dc1\Lokale Einstellungen\Temp\Del29.tmp infiziert von "Trojan-Downloader.Win32.Agent.xz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-796845957-764733703-1957994488-1011\Dc1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JPRI6FVP\activex_5164_it[1].exe//Exe32Pack infiziert von "Trojan-Downloader.Win32.Small.ctx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\activex_5224_it.exe//Exe32Pack infiziert von "Trojan-Downloader.Win32.Small.ctx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.1\activex_5224_it.exe//Exe32Pack infiziert von "Trojan-Downloader.Win32.Small.ctx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.2\activex_5224_it.exe//Exe32Pack infiziert von "Trojan-Downloader.Win32.Small.ctx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\Installationsroutinen\clonedvd\SetupCloneDVD 1-3-11-2.exe infiziert von "Virus.Win32.Parite.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\Stick\chatflooder.zip/icqChatFlooder.exe infiziert von "IM-Flooder.Win32.Graffuz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\Stick\repackedzip_buha_tools_id_215_dlfile.zip/eXe/AuthFlood.eXe//FSG infiziert von "IM-Flooder.Win32.AuthFlood.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\W****r\Eigene Dateien\USB-Stick\SlaYers\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. Datei C:\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.10\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.11\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.12\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.13\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.6\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.7\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.8\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei C:\WINDOWS\Downloaded Program Files\CONFLICT.9\UWFX5U_0001_LPNetInstaller.exe markiert als not-a-virus:Downloader.Win32.Agent.d. Keine Aktion vorgenommen. Datei G:\Outlook\backup.pst/Persönliche Ordner\Höchste Ebene der Persönlichen Ordner\Gelöschte Objekte\[From:feetfeet@www.tinascherry.com][Subject:stolen][Time:2004/08/03 13:49:44]/document.zip/document.htm.pif markiert als not-a-virus:Downloader.Win32.Casino. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\W****r\Desktop\D****n**\desktop\cerebro_16.02.2006\cerebro_16.02.2006\loader.exe Offending file found: C:\Dokumente und Einstellungen\W****r\Lokale Einstellungen\temp\nero8031\nero recode ce\nero recode\nerofiles\image.dll Offending file found: C:\Dokumente und Einstellungen\W****r\Lokale Einstellungen\temp\pft17~tmp\moveex.exe Offending file found: C:\DOKUME~1\W****r\LOKALE~1\Temp\tmp107.tmp ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\DOKUME~1\W****r\LOKALE~1\Temp\sw Offending Folder found: C:\Dokumente und Einstellungen\W****r\Lokale Einstellungen\temp\sw Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\savenow !!! Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!! Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\zango !!! Offending Key found: HKCU\\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\D****n**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81AZ4L2J\ICQPhone[1].cb nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\D****n**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81AZ4L2J\MIBFlashCtrl[1].cb nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\D****n**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHMNSHEJ\swflash[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\T**e**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XUJCTUF\tzerDialog[1].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\T**e**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XUJCTUF\tzerDialog[2].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\T**e**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XQBGL2F\tzerDialog[1].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\T**e**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XQBGL2F\warsheep5[1].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\T**e**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8ZDFIIV1\zoopaloola7[1].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\T**e**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G3H3YAJ9\warsheep5[1].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\T**e**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YTS5EF4N\tzerDialog[1].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\T**e**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YTS5EF4N\warsheep5[1].emo nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\RECYCLER\S-1-5-21-796845957-764733703-1957994488-1006\Dc21.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Driver Cache\i386\$$TEMP$$.~~~ nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\system32\spool\drivers\w32x86\3\EB3ST000.DAT nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_color_88fffa\EB3ST000.DAT nicht gescannt. Wahrscheinlich durch Passwort geschützt... G:\Fonts\tafelschrift.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 233621 Gefundene Viren: 53 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 251 Dauer des Scans bisher: 02:48:58 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 23:42:48,97 Batchende: 23:46:59,81 |
|
10.05.2007, 13:54
| #6 | ||
| | Bitte um Überprüfung / SpyBanker.cnx.4 gefunden Dann mal los  1. Leer den folgenden Ordner: Zitat:
2.Den Ordner leeren: Zitat:
) entfernen!anschließend den Ordner C:\Recycler leeren. Dann mal mit CCleaner mehrmals die Registry säubern lassen. Bis dann |
|
10.05.2007, 18:42
| #7 |
| | Bitte um Überprüfung / SpyBanker.cnx.4 gefunden Hi Apokalypt! Erstmal vielen Dank für deine Hilfe. Bin ich jetzt fertig mit meiner Säuberung? Kann ich jetzt sicher sein, dass der Trojaner von Bord ist? Soll ich nochmals was posten? Gruß lumikus |
|
10.05.2007, 19:03
| #8 |
| | Bitte um Überprüfung / SpyBanker.cnx.4 gefunden Wenn es keine Probleme gibt müsste alles in Ordnung sein |
|
| Themen zu Bitte um Überprüfung / SpyBanker.cnx.4 gefunden |
| adobe, antivir, antivir guard, avira, bho, drivers, ebay, excel, explorer, firewall, hijack, hijackthis, homepage, internet, internet explorer, internet security, konvertieren, magix, monitor, pdf, pdf-datei, security, siteadvisor, software, system, t-online, trojaner, windows, windows xp, wiso, wlan |
Linear-Darstellung
