Hi @ all,
hab heute e-scan laufen lassen, welcher auch mehrere Funde angezeigt hat!
Irgendwie hat das Programm allerdings die find.zip nicht gespeichert. Habe mir aber die Funde notiert:

- "Gokster"
- "trojan-downloader.bat.ftp.ab" (3x)
- "smitfraud Browser Hijacker"
- "ace club casino"
- "progent Trojan"

Danach habe ich mal Spyware Docter laufen lassen und der hat mir folgende Funde angezeigt:

- "Trojan.PSW"
- "Keenvalue"

Anbei poste ich noch ein aktuelles HiJack:

Logfile of HijackThis v1.99.1
Scan saved at 12:46:34, on 25.6.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\***\Vollversionen\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com
O1 - Hosts: 207.210.117.53 w*w.winmx.c*m
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/...x/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1178096147375
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) -
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MPS9 - McAfee, Inc. - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Wie werde ich die o.g. Plagegeister wieder los??? Bitte um Hilfe!

LG
joerg83

Hi,
hast du die find.bat durchlaufen lassen und hast das sich öffnenede Textdokument nicht gespeichert, oder hast du die find.zip (die es so derzeit leider nicht gibt. ->find.bat per rechtsklick und speichern unter direkt speichern) nicht herunterladen können?

Wenn wir die Funde bewerten sollen müssten wir auch wissen, wo sie gefunden wurden, daher wäre es wahrscheinlich am einfachsten das mit der find.bat nochmal zu versuchen.

In deinem HJT-Log kann ich jetzt erstmal nichts erkennen, benenn aber vllt mal hijackthis.exe um in abc.exe understell ein neues log. Evtl sieht man dann mehr.

lg myrtille

Hi, ja kann die find.bat nicht runterladen!

Einfach rechtsklick auf den Link zur find.bat, dann im Menü "Ziel speichern unter" anwählen und schon sollte sich die find.bat auf deinen Rechner begeben.

lg myrtille

Hier das E-Scan-Log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.8
Sprache: German
C:\DOKUME~1\MARK~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ace club casino Spyware/Adware (gamelog.ini)! Action taken: Keine Aktion vorgenommen.
System found infected with progent Trojan (mps.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with progent Trojan (mps.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ace club casino Spyware/Adware (gamelog.ini)! Action taken: Keine Aktion vorgenommen.
System found infected with progent Trojan (mps.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with progent Trojan (mps.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Markö\Anwendungsdaten\microsoft games\rise of nations\gamelog.ini
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Markö\Anwendungsdaten\microsoft games\rise of nations\gamelog.ini
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Markö\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Markö\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :207.210.117.53 www.winmx.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 121391
Gescannte Dateien: 24618
Gefundene Viren: 8
Gefundene Viren: 8
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 85
Anzahl Fehler: 42
Dauer des Scans bisher: 01:31:48
Dauer des Scans bisher: 00:02:57
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:58:08,39
Batchende: 13:58:18,67


LG
joerg83

Hi,
hast oder hattest du mal smitfraudfix installiert?
Ist dieser Eintrag in der host-datei absicht: 207.210.117.53 www.winmx.com ?
Bzw kennst du die Seite?

lg myrtille

Nein ich kenne beide Einträge bzw. Seiten nicht!!!

Wie ists mit smitfraudfix?


winmx sagt dir was?

Ansonsten den Eintrag löschen.
Ich denk dann sollte gut sein.

lg myrtille

Zitat:

Zitat von myrtille

Wie ists mit smitfraudfix?

Wie gesagt, kenne ich nicht!

Eben wure noch: Win32/PrcViewgefunden!
in: c:\windows\system32\process.exe


Zudem spinnt auch noch meine DSL Leitung rum, d.h. sie wird stänig getrennt!


jörg

Dann lass die Dateien, bitte mal virustotal auswerten.

Zitat:

Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe

EDIT:

Zitat:

Eben wure noch: Win32/PrcViewgefunden!
in: c:\windows\system32\process.exe

von wem?


lg myrtille

Scan dauert an!!!

Zitat:

Zitat von myrtille

EDIT:

von wem?


lg myrtille

Von Anti-Malware 3.0 (EMSI-Software)


jörg

1.) Was genau willst du machen?
2.) Warum willst du das machen?
3.) Eröffne für deine Fragen bitte einen eigenen Thread.
4.)dariks boot and nuke, damit kannst du deine Platte komplett und engültig formatieren. Dann ist da nichts mehr drauf.

Zitat:

Zitat von myrtille

1.) Was genau willst du machen?
2.) Warum willst du das machen?
3.) Eröffne für deine Fragen bitte einen eigenen Thread.
4.)dariks boot and nuke, damit kannst du deine Platte komplett und engültig formatieren. Dann ist da nichts mehr drauf.

Gehe mal davon aus, dass das nicht für mich bestimmt war!

Zitat:

Zitat von joerg83

Gehe mal davon aus, dass das nicht für mich bestimmt war!

Riischdiiiiiiiisch!

Moin - Virustotal scheint down zu sein! Würde eine Auswertung von Jotti auch reichen??


LG
jörg