|
Log-Analyse und Auswertung: Trojaner auf dem RechnerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.07.2007, 20:15 | #1 |
| Trojaner auf dem Rechner Hallo zusammen, bin das erste Mal hier, nur gelegentlicher PC-Nutzer, daher mehr Laie, habe aber seit letztes Wochenende ein Viren-Problem. Hoffe, ihr könnt mir helfen. Mein G Data InternetSecurity 2007 hat mir beim Scannen folgende 3 Viren angezeigt: 1. C:/Dokumente und Einstellungen/Rüdiger/Lokale Einstellungen/Temporary Internet Files/ Content.IE5/……../ riff_last (1).bin den Virus „Exploit:Win32.IMG-ANI.w“ 2. C:/ Dokumente und Einstellungen/ Rüdiger/Lokale Einstellungen/ Temporary Internet Files/ Content.IE5/ YP8FSVAN/ riff_last (1)bin. den Virus „CVE-2007-0038“ 3. C:/Windows/Windowsupdate.log den Virus „Win32:Agent-HAI (Trj) G Data konnte die Viren weder löschen noch desinfizieren. Mit adaware, Spybot, AVG Anti-Spyware, CWShredder, Trojan Remover, a-squared und dem aktuellen Windows-Tool zum Entfernen bösartiger Software konnte ich anschließend nichts finden. Habe dann die Inhalte der Ordner „Temporary Internet Files“ und „Cookies“ über Start > Systemsteuerung > Internetoptionen > Allgemein gelöscht, den Rechner heruntergefahren und nach Neustart mit dem CCleaner nochmals alles analysiert. Dabei musste ich feststellen, dass in „Temporary Internet Files“ der Ordner „Content.IE5“ immer wieder neu kopiert wurde und im Ordner „Cookies“ auch immer wieder die Datei „Index.dat“ erschien. Die Datei „Index.dat“ wurde als Datei im Ordner „Content.IE5“ angezeigt. Ein Löschen von „Content.IE5“ und „Index.dat“ in den beiden Ordnern durch markieren und löschen scheiterte jedes Mal, da angezeigt wurde, dass die beiden Ordner vom System genutzt werden. Ich habe dann im abgesicherten Modus und nach Deaktivierung der Systemwiederherstellung nochmals mit den vorgenannten Scannern alles gescannt – wieder ohne Meldung, diesmal auch nicht vom G Data InternetSecurity. Nach dem Neustart waren die Ordner „Content.IE5“ und „Index.dat“ im Ordner Cookies wieder da. Die Überprüfung der betroffenen Dateien mit „virusscan.jotti.org“ hat auch nichts ergeben. Habe beim googeln festgestellt, dass Microsoft zum Virus „CVE-2007-0038“ bereits selber eine Warnung (MS07-017) veröffentlicht und im April einen Patch zur Schließung der Lücke bereitgestellt hat (KB 925902). Habe diesen heruntergeladen und installiert. Ich hoffe, damit wenigstens diesen Virus unschädlich gemacht zu haben. Zu den beiden anderen Viren findet man bei Google vor allem Hinweise auf Probleme von Usern im französischen Raum. Da ich immer noch unsicher bin, ob die Viren nicht doch noch auf meinem System sind, sende ich euch mein HijackThis-log und die eScan-Auswertung mit der Bitte, einmal darüber zu schauen. eScan hat beim Scannen im abgesicherten Modus mit Deaktivierung Systemwiederherstellung wohl einiges gefunden, was ich jedoch nicht alles verstehe. Besten Dank im Voraus. Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 20:56:10, on 06.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\progra~1\0190wa~1\w0svc.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\GoogleFilter\Core\Googlefilter.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe C:\WINDOWS\CNYHKey.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\****\Desktop\HiJackThis_v2.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aomi.info R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aomi.info R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aomi.info R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.microsoft.com/access/allinone.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/access/allinone.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.aomi.info R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local> O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {60DF4425-F36F-42D7-AECF-A409EBE4558C} - C:\Programme\SimonTools\CyberGhost2006\tbcghost.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O3 - Toolbar: SimonTools - {CC48EB38-F950-48C0-9F22-D64F829AE3DF} - C:\Programme\SimonTools\CyberGhost2006\tbcghost.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\System\tool.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [CyberGhost2006] "C:\Programme\SimonTools\CyberGhost2006\CGhost.exe" min O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: G DATA Firewall Tray.lnk = ? O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129318703171 O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5066/mcfscan.cab O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\progra~1\0190wa~1\w0svc.exe O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 9512 bytes Hier die eScan Virus Log Information [General] EngineType=1 [Welchia] Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","","" Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","","" DeleteFile1=%winsysdir%\wins\svchost.exe DeleteFile2=%winsysdir%\wins\Dllhost.exe [LovGate] Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","","" Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","","" Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","","" Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","","" DeleteFile1=%winsysdir%\NetServices.exe DeleteFile2=%winsysdir%\RAVMOND.EXE DeleteFile3=%winsysdir%\RAVMOND.EXE DeleteFile4=%winsysdir%\WinGate.exe DeleteFile5=%winsysdir%\WinDriver.exe DeleteFile6=%winsysdir%\WinHelp.exe DeleteFile7=%winsysdir%\winrpc.exe DeleteFile8=%winsysdir%\ily.dll DeleteFile9=%winsysdir%\task.dll DeleteFile10=%winsysdir%\reg.dll DeleteFile11=%winsysdir%\1.dll DeleteFile12=%winsysdir%\win32vxd.dll DeleteFile13=%winsysdir%\kernel66.dll DeleteFile14=%winsysdir%\kernel66.dll DeleteFile15=%winsysdir%\iky668.dll DeleteFile16=%winsysdir%\reg678.dll DeleteFile17=%winsysdir%\task688.dll DeleteFile18=%winsysdir%\111.dll [CodeRed] DeleteFile1=%inetpub%\scripts\root.exe DeleteFile2=%PF%\common~1\system\MSADC\root.exe ;DeleteFile3=%SYSTEMDIR%explorer.exe ;DeleteFile3 commented because in XP (64-bit OS), explorer.exe is kept in system32 folder!!! Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D [OpaServ] DeleteFile1=%SYSTEMDIR%\Tmp.ini ; this is Opaserv.M DeleteFile2=%SYSTEMDIR%\MSLICENF.COM DeleteFile3=%SYSTEMDIR%\BOOT.EXE BAT1=Autoexec.bat,MSLICENF BAT2=Autoexec.bat,BOOT.EXE [Sobig.e] DeleteFile1=%winsysdir%\cgtask.exe DeleteFile2=%winsysdir%\mmtask.exe [Winupie] DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll [Swen] DeleteFile1=%winsysdir%\SWEN*.DAT [JS.Fortnight] DeleteFile1=%PF%\sign.htm DeleteFile2=%PF%\sign.html [Novarg] DeleteFile1=%winsysdir%\shimgapi.dll [Pagabot] Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"","" [Parite.b] Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"","" [Parite.a] Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"","" [Adware.SeekSeek] Reg1=HKEY_CURRENT_USER\Console,UUID,"","" Reg2=HKEY_CURRENT_USER\Console,lp,"","" |
06.07.2007, 20:21 | #2 |
| Trojaner auf dem Rechner Hallo
__________________du willst uns doch nicht erzählen, dass eScan diese alle beseitigt hat, oder? Verstehe ich hier etwas falsch? Kennst du diese Datei : C:\WINDOWS\System\tool.exe MFG |
07.07.2007, 15:26 | #3 |
| Trojaner auf dem Rechner Hallo,
__________________sorry, habe eScan das erste Mal genutzt und da wohl etwas falsch gemacht. Habe soeben eScan nochmals darüber laufen lassen. Hier die aus der der Datei mwav.log und der virus log information herausgesuchten infected files. Wenn nötig, poste ich die gesamte virus log information, die jedoch sehr lang ist. Sat Jul 07 14:18:04 2007 => System found infected with sillyworm.vo Worm (hkey_local_machine\software\microsoft\windows\currentversion\run/system)! Action taken: No Action Taken. Sat Jul 07 14:18:17 2007 => File C:\WINDOWS\msstasks.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Sat Jul 07 14:18:17 2007 => File C:\WINDOWS\mstaskss.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Sat Jul 07 14:47:53 2007 => Scanning File C:\Programme\a-squared\infected.txt Sat Jul 07 14:47:56 2007 => Scanning File C:\Programme\a-squared Free\infected.txt Sat Jul 07 15:41:25 2007 => File C:\WINDOWS\msstasks.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. at Jul 07 15:41:25 2007 => File C:\WINDOWS\mstaskss.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Sat Jul 07 15:57:30 2007 => Total Objects Scanned: 83088 Sat Jul 07 15:57:30 2007 => Total Critical Objects: 11 Sat Jul 07 15:57:30 2007 => Total Disinfected Objects: 0 Sat Jul 07 15:57:30 2007 => Total Objects Renamed: 0 Sat Jul 07 15:57:30 2007 => Total Deleted Objects: 0 Sat Jul 07 15:57:30 2007 => Total Errors: 194 Sat Jul 07 15:57:30 2007 => Time Elapsed: 01:40:29 Sat Jul 07 15:57:30 2007 => Virus Database Date: 7/5/2007 Sat Jul 07 15:57:30 2007 => Virus Database Count: 358745 Sat Jul 07 15:57:30 2007 => Scan Completed. Was meinst Du mit C:/Windows/system/tool.exe? |
07.07.2007, 16:09 | #4 | |
| Trojaner auf dem Rechner Hallo Zitat:
Wenn nicht lass sie bitte hier Virustotal oder hier Jotti überprüfen (kann bisschen dauern), gleiches gilt für diese Datei : C:\WINDOWS\msstasks.exe (auswerten lassen) poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei, sowie die MD5 und SHA1 Angaben, auch wenn nichts gefunden wurde. MFG |
11.07.2007, 20:47 | #5 |
| Trojaner auf dem Rechner Hallo, war einige Tage beruflich unterwegs, daher komme ich erst heute wieder an meinen Rechner. Ein Scan der Datei "C/Windows/msstasks.exe" bei virustotal hat folgendes ergeben: "0 bytes size received / Se ha recibido un archivo vacio". Ein Scan bei Jotti hat zu folgendem Ergebnis geführt: "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file". Die Datei "msstaasks.exe" fand sich übrigens zweimal im Ordner C/Windows". Ein Scan beider Fundstellen hat das gleiche Ergebnis wie vorstehend ergeben. Die Datei "C/Windowes"system/tool.exe" findet sich im Arbeitsplatz/Explorer nicht. Auch Prozess Explorer hat diese nicht angezeigt,+. Erst Autoruns zeigte sie an unter "HKey_local_machine/software/microsoft/windows/CurrentVersion/run". Soll ich den Prozess aus der Windows-Registrierung und dem Autorun löschen? MfG Rüdi |
11.07.2007, 21:41 | #6 |
| Trojaner auf dem Rechner Hallo ich hab bei der ganzen Sache ein komisches Gefühl... Deaktiviere bitte den Teatimer von Spybot S&D so : starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" --> klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D. Mach bitte alle versteckten Dateien und Ordner sichtbar. Dann starte HijackThis mit der Option - do a system scan only - und hake diesen Eintrag an : O4 - HKLM\..\Run: [System] C:\WINDOWS\System\tool.exe klicke nun auf - fix checked, anschließend klicke auf - Main Menu - und wähle "Open the Misc Tools section" --> "Misc Tools" anwählen --> Delete a file on reboot --> wähle die zu löschende Datei --> die Frage zum Neustart mit "Nein" beantworten --> die Frage des Neustarts erst mit "Ja" beantworten wenn alle Dateien ausgewählt wurden. Wähle folgende Datei(en) : C/Windows/msstasks.exe C:\WINDOWS\System\tool.exe beende HijackThis und starte den Rechner neu. Nach dem Neustart schau bitte in den Backupordner von HijackThis ob sich unsere beiden Patienten dort befinden, wenn ja, lass sie jetzt nochmal bei Virustotal auswerten. MFG |
12.07.2007, 20:21 | #7 |
| Trojaner auf dem Rechner Hallo, besten Dank für Deine Hinweise. Wie beschrieben habe ich den Teatimer von Spybot S&D deaktiviert und alle versteckten Dateien und Ordner sichtbar gemacht sowie anschließend HijackThis wie geschildert gestartet. Nachdem ich den entsprechenden Hacken beim Eintrag "04-HKLM/../Run: ...C:/Windows/System/tool.exe" gesetzt hatte und über Main Menue > Misc Tools ...>> zu Delete a file on reboot gekommen war, passierte auch hier wieder etwas komisches: Ich habe die zu löschende Datei "C:/Windows/System/tool.exe" nicht im Explorer gefunden; sie wurde dort noch immer nicht angezeigt. Ich konnte sie daher nicht auswählen. Anders bei den beiden Dateien "C:/Windows/msstasks.exe", die sich problemlos finden und auswählen liessen. Nach dem Neustart des Rechners findet sich in dem Backupordner von HijackThis nur noch der Eintrag zu der Datei "C:/Windows/System/tool.exe". Da diese Datei im Explorer (s.o.) nicht auffindbar ist, kann ich sie leider auch nicht nochmals über Virustotal auswerten lassen. Übrigens wird diese Datei jetzt von Autoruns nícht mehr angezeigt. MfG Rüdi |
12.07.2007, 21:57 | #8 | |
| Trojaner auf dem Rechner Hallo Zitat:
lade dir ClearProg und lasse es dein System bereinigen (hake an --> alles löschen), lass alles löschen. Lade dir bitte auch mal Silentrunners und lasse es dein System scannen, anschließend poste das Log. Erstelle bitte ein neues HijackThis Log und lass AVG mal upgedatet übers System schauen, poste die Funde aber bitte keine gefundenen Cookies. MFG |
13.07.2007, 20:25 | #9 |
| Trojaner auf dem Rechner Hallo, habe ClearProg und Silentrunners drüber laufen lassen. Im Folgenden die Logs von Silentrunners und HijackThis. Log von Silentrunners: "Silent Runners.vbs", revision R50, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Googlefilter" = "C:\Programme\GoogleFilter\Core\Googlefilter.exe /run" ["ABoTech Software Andreas Born, Marc Waesche Services"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "PCMService" = ""C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"" [empty string] "PRISMSTA.EXE" = "PRISMSTA.EXE START" ["Intersil Americas Inc."] "EPSON Stylus C84 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"" ["SEIKO EPSON CORPORATION"] "Googlefilter" = "C:\Programme\GoogleFilter\Core\Googlefilter.exe /run" ["ABoTech Software Andreas Born, Marc Waesche Services"] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["GRISOFT s.r.o."] "AVKTray" = ""C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"" ["G DATA Software AG"] "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "McAfeeUpdaterUI" = ""C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey" ["McAfee, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {0124123D-61B4-456f-AF86-78C53A0790C5}\(Default) = "G DATA WebFilter Class" -> {HKLM...CLSID} = "G DATA WebFilter" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll" ["G DATA Software AG"] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{15362FA5-C983-41ed-B7AC-5B9BEAF56929}" = "AOL" -> {HKLM...CLSID} = "AOL" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\aolshare\shell\de\shellext.dll" ["America Online, Inc."] "{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell" -> {HKLM...CLSID} = "InoShell" \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshellext.dll" ["RealNetworks"] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."] AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}" -> {HKLM...CLSID} = "AVK9ContextMenue" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\AVK\ShellExt.dll" [empty string] EastTecFileShredder\(Default) = "{09FAB52A-B435-11D6-A324-0050BFE9FD8F}" -> {HKLM...CLSID} = "East-Tec File Shredder Context Menu Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\EAST-T~1\etfscm.dll" ["EAST Technologies"] InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}" -> {HKLM...CLSID} = "InoShell" \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found] Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}" -> {HKLM...CLSID} = "ReisswolfContextMenu" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Shredder\Reisswlf.dll" [empty string] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."] InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}" -> {HKLM...CLSID} = "InoShell" \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}" -> {HKLM...CLSID} = "AVK9ContextMenue" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\AVK\ShellExt.dll" [empty string] Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}" -> {HKLM...CLSID} = "ReisswolfContextMenu" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Shredder\Reisswlf.dll" [empty string] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "DisableRegistryTools" = (REG_DWORD) hex:0x00000000 {Prevent access to registry editing tools} HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\ "Homepage" = (REG_DWORD) hex:0x00000000 {Disable changing home page settings} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS] Startup items in "****" & "All Users" startup folders: --------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "G DATA Firewall Tray" -> shortcut to: "C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" [null data] "Kontrollfeld für die kabellose Tastatur" -> shortcut to: "C:\WINDOWS\CNYHKey.exe" ["Chicony"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] "Picture Package Menu" -> shortcut to: "C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe" ["Sony Corporation"] "Picture Package VCD Maker" -> shortcut to: "C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe -h" ["Sony Corporation."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{0124123D-61B4-456F-AF86-78C53A0790C5}" = "G DATA WebFilter" -> {HKLM...CLSID} = "G DATA WebFilter" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll" ["G DATA Software AG"] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided) -> {HKLM...CLSID} = "Real.com" \InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): (unwritable string) Missing lines (compared with English-language version): [Version]: 2 lines [RestoreHomePage]: 1 line [RestoreHomePage.reg]: 1 line [RestoreBrowserSettings.reg]: 12 lines [DeleteTemplates.reg]: 5 lines [DeleteAutosearch.reg]: 1 line [Strings]: 1 line [RestoreBrowserSettings]: 2 lines [Strings]: 3 lines Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ 0190/0900 Warner Überwachungsdienst, 0190_0900_Warner_MonitorService, "c:\progra~1\0190wa~1\w0svc.exe" ["Mirko Böer"] AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["GRISOFT s.r.o."] AVK Service, AVKService, "C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe" ["G DATA Software AG"] AVK Wächter, AVKWCtl, "C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe" [empty string] AVKProxy, AVKProxy, ""C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"" ["G DATA Software AG"] Ereignisprotokoll-Überwachung, LogWatch, "C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe" ["Computer Associates"] G DATA Personal Firewall, GDFwSvc, "C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe" [null data] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS] McAfee Framework-Dienst, McAfeeFramework, ""C:\Programme\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart" ["McAfee, Inc."] WAN Miniport (ATW) Service, WANMiniportService, ""C:\WINDOWS\wanmpsvc.exe"" ["America Online, Inc."] X10 Device Network Service, x10nets, "C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe" ["X10"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ EPSON V6 2KMonitor\Driver = "EBPMON24.DLL" ["SEIKO EPSON CORPORATION"] Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] ---------- <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 47 seconds, including 6 seconds for message boxes) Log von Hijackthis: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 20:24:01, on 13.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\progra~1\0190wa~1\w0svc.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\GoogleFilter\Core\Googlefilter.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe C:\WINDOWS\system32\RunDll32.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe C:\WINDOWS\CNYHKey.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Rüdiger\Eigene Dateien\HiJackThis_v2.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aomi.info R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aomi.info R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aomi.info R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.microsoft.com/access/allinone.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/access/allinone.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.aomi.info O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: G DATA Firewall Tray.lnk = ? O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129318703171 O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5066/mcfscan.cab O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\progra~1\0190wa~1\w0svc.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 8579 bytes Ein Scan mit upgedatetem AVG Anti-Spyware hat keine Funde ergeben. Mit freundlichen Grüßen Rüdi |
13.07.2007, 20:52 | #10 | |
| Trojaner auf dem Rechner Hallo ich muss sagen mein schlechtes Gefühl hat mich nicht betrogen, wenn ich nach diesem Eintrag Google Zitat:
eigentlich kann ich dir aufgrund der Funde und Dateien die nicht auszuwerten waren nur das Neuaufsetzen des Systems und anschliessende Absicherung! raten, Sorry. Ändere nach der Neuinstallation bitte auch alle Pass/Kennwörter. Wenn jemand noch eine andere Idee hat möge er sich doch bitte melden (evtl. lieg ich ja voll daneben). MFG |
23.07.2007, 10:57 | #11 |
| Trojaner auf dem Rechner Hallo, vielen Dank für Deine Hinweise. Ich habe zwischenzeitlich den Rechner neu formatiert und aufgesetzt - dies war wohl insgesamt die beste und sicherste Lösung. Dennoch nochmals besten Dank für Deine und eure Hilfe und Mühe. Rüdi |
Themen zu Trojaner auf dem Rechner |
64-bit, abgesicherten modus, adobe, avg, bho, browseui preloader, computer, cyberghost, desktop, dll, drivers, entfernen, erste mal, excel, firewall, g data, google, hijack, hkus\s-1-5-18, home, immer wieder, internet explorer, löschen, neustart, programme, regsvr32, rundll, s-1-5-18, scan, security, software, trend micro, trojan, trojaner, virus, warnung, windows xp, windows-tool |