|
Plagegeister aller Art und deren Bekämpfung: a.bat TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.07.2007, 18:29 | #1 |
| a.bat Trojaner hallo, bin neu hier und hab folgendes problem. Bei jedem Systemstart kommt von meinem AntiVir eine Warnung das er einen Trojaner gefunden hat namens a.bat die kann ich zwar löschen oder in quarantäne setzten aber kommt bei jedem start neu und eine Datei sysmem.exe wollte ein Autostart eintrag erstellen was von Anti-Malware aber erkannt und geblockt wurde. Hab schon mit Anti-Malware und anderen Scanner probiert das Teil los zu werden ohen Erfolg die haben nix gefunden. Ich hoffe ihr könnt mir helfen!!! Logfile of HijackThis v1.99.1 Scan saved at 19:28:00, on 22.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe E:\tools\ICQLite\ICQLite.exe E:\tools\ATITool\ATITool.exe E:\tools\Logitech\iTouch\iTouch.exe E:\tools\UltraMon\UltraMon.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe E:\tools\DAEMON Tools\daemon.exe E:\tools\UltraMon\UltraMonTaskbar.exe e:\tools\a-squared Anti-Malware\a2service.exe e:\tools\a-squared Free\a2service.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe E:\Tools\Mozilla Firefox\firefox.exe E:\Tools\a-squared Anti-Malware\a2guard.exe C:\Dokumente und Einstellungen\Larz\Desktop\Hijack\Hijack.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\tools\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "e:\tools\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [ATITool] "E:\tools\ATITool\ATITool.exe" -s O4 - HKLM\..\Run: [zBrowser Launcher] e:\tools\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [UltraMon] "E:\tools\UltraMon\UltraMon.exe" /auto O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [lnternet Update] sysmem.exe O4 - HKLM\..\RunServices: [lnternet Update] sysmem.exe O4 - HKCU\..\Run: [DAEMON Tools] "e:\tools\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\RunOnce: [ICQ Lite] E:\tools\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\tools\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\tools\ICQLite\ICQLite.exe O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E9426118-B87D-497D-8444-FE589712C8E6}: NameServer = 192.168.0.1 O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - e:\tools\a-squared Anti-Malware\a2service.exe O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - e:\tools\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe |
22.07.2007, 18:43 | #2 |
| a.bat Trojaner Hallo. Hast Du noch den Bericht mit Angaben des Pfades von Antivir. Wenn ja, dann stelle Ihn bitte hier rein.
__________________Die angemeckerte Datei sysmem.exe bei Virustotal VirusTotal - Free Online Virus and Malware Scan , bzw bei Jotti überprüfen : Online malware scan (Datei ins weisse Fensterchen kopieren, auf "send/submit" klicken, gesamte Ergebnis posten. Hoffe der Server ist nicht überlastet. Die sysmem.exe sollte im übrigen eigentl. unter diesem Pfad zu finden sein C:\WINDOWS\system32\ Wenn nicht dann versteckte Dateien & Ordner sichtbar machen. |
22.07.2007, 18:52 | #3 |
> MalwareDB | a.bat Trojaner Mit HJT folgende Einträgen fixen:
__________________O4 - HKLM\..\Run: [lnternet Update] sysmem.exe O4 - HKLM\..\RunServices: [lnternet Update] sysmem.exe O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll Dann lade Dir OTMoveIt, öffne es, füge C:\WINDOWS\System32\sysmem.exe in den linken Fensterteil ein, dann klicke auf "MoveIt", die Datei liegt jetzt im Ordner C:\OTMoveit!. Diesen Ordner löschen. Dann Rechner neu starten, Antivir Updaten und scannen. Dann logs von HJT und AntiVir hier posten. Bata
__________________ |
22.07.2007, 18:56 | #4 | |
/// Helfer-Team | a.bat TrojanerZitat:
Denn es könnte eine RBot-Variante, also eine Backdoor sein: sysmem.exe - Program Information
__________________ Alle Tipps und Anleitungen ohne Gewähr |
22.07.2007, 19:03 | #5 |
> MalwareDB | a.bat Trojaner Was weiß der TO dann mehr? Würde gern das Log von Avira abwarten, gewöhlich kommen solche Exploids nicht allein. Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
22.07.2007, 19:05 | #6 |
| a.bat Trojaner BataAlexander : Bitte nicht einfach alles fixen. Zuerst muss einmal sichergestellt werden, worum es sich bei Dieser Datei überhaupt handelt. Erst nach Identifizierung des Schadprogrammes sollte man weitergehende Schritte prüfen. Die 09-er Einträge bitte in Ruhe lassen. Der erste Eintrag ist für Autoruns von Sysinternals. In diesem Subkey werden temporär ausgeschaltete Reg-Keys zwischengespeichert. Dieser file ist zwar nicht mitgestartet, aber auf keinen Fall schädlich. Der Zweite Eintrag gehört zur JAVA-Software das Programme ausführt, indem sie den Bytecode interpretiert. |
22.07.2007, 19:12 | #7 |
> MalwareDB | a.bat Trojaner Ja Mensch, ne ist mir beim Copy & Paste reingerutscht, dass mit dem Java, sry. Die Autoruns sind leer, daher kannn, nicht muss, man den Eintrag entfernen. Die Datei würde ich deshalb direkt löschen, da ich davon ausgehen, das der Rechner immer noch am Netz ist. Sicherlich kann man die noch Scannen, aber was bringts mehr. Wie so oft gibt es viele Wege nach Rom, keiner falsch nur anders An TO: Also O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll nicht fixen und den O9 - Extra button: (no name) - AutorunsDisabled - (no file) nur wenn Du magst Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
22.07.2007, 19:33 | #8 |
| a.bat Trojaner danke für die schnelle antwort... werde die sachen ausführen sobald ich wieder zu haus bin |
22.07.2007, 23:03 | #9 |
| a.bat Trojaner also AntiVir sagt folgendes: In der Datei 'C:\a.bat' wurde ein Virus oder unerwünschtes Programm 'BAT/REG.Zapchast' [BAT/REG.Zapchast] gefunden. Ausgeführte Aktion: Zugriff verweigern Virus Total: Antivirus Version Last Update Result AhnLab-V3 2007.7.21.0 2007.07.20 no virus found AntiVir 7.4.0.44 2007.07.22 HEUR/Crypted Authentium 4.93.8 2007.07.20 no virus found Avast 4.7.997.0 2007.07.22 no virus found AVG 7.5.0.476 2007.07.22 no virus found BitDefender 7.2 2007.07.22 DeepScan:Generic.Malware.G!SKI!!FLMPWX!!BVPkprng.A01DD89A CAT-QuickHeal 9.00 2007.07.20 no virus found ClamAV devel-20070416 2007.07.22 no virus found DrWeb 4.33 2007.07.22 no virus found eSafe 7.0.15.0 2007.07.22 no virus found eTrust-Vet 30.8.3797 2007.07.20 Win32/Rbot.HFA Ewido 4.0 2007.07.22 no virus found FileAdvisor 1 2007.07.22 no virus found Fortinet 2.91.0.0 2007.07.22 no virus found F-Prot 4.3.2.48 2007.07.20 no virus found F-Secure 6.70.13030.0 2007.07.22 no virus found Ikarus T3.1.1.8 2007.07.22 Backdoor.VB.EV Kaspersky 4.0.2.24 2007.07.22 no virus found McAfee 5079 2007.07.20 no virus found Microsoft 1.2704 2007.07.22 no virus found NOD32v2 2411 2007.07.21 no virus found Norman 5.80.02 2007.07.20 no virus found Panda 9.0.0.4 2007.07.22 W32/Gaobot.PVZ.worm Sophos 4.19.0 2007.07.17 no virus found Sunbelt 2.2.907.0 2007.07.21 VIPRE.Suspicious Symantec 10 2007.07.22 no virus found TheHacker 6.1.7.151 2007.07.22 no virus found VBA32 3.12.2.1 2007.07.21 no virus found VirusBuster 4.3.26:9 2007.07.22 no virus found Webwasher-Gateway 6.0.1 2007.07.22 Heuristic.Crypted hab die Datei mit MoveIt verschoben und jetzt kommt auch keine Warnung mehr von Antivir und die a.bat wird auch nicht mehr erzeugt... also kann ich sie jetzt löschen ???? Geändert von neo1912 (22.07.2007 um 23:08 Uhr) Grund: Update |
22.07.2007, 23:18 | #10 |
| a.bat Trojaner Sieht nicht gut aus: Backdoor-Befall! Win32/Rbot. Wie vermutet ! Ich rate Dir zu Deiner eigenen Sicherheit zu einem Neuaufsetzen . http://www.trojaner-board.de/12154-a...sicherung.html Warum? Lese bitte hier nach: Homepage von Malte J. Wetz Geändert von Mobius07 (22.07.2007 um 23:23 Uhr) |
22.07.2007, 23:26 | #11 |
> MalwareDB | a.bat Trojaner Leider, Full Ack Mobius07 Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
22.07.2007, 23:31 | #12 |
| a.bat Trojaner |
22.07.2007, 23:33 | #13 |
> MalwareDB | a.bat Trojaner Das ist ein Zeichen der Zustimmung zu Mobius07 Aussage Full Ack(nowledge) = Volle Zustimmung Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
22.07.2007, 23:35 | #14 | |
| a.bat TrojanerZitat:
trotzdem vielen dank junx!!! werd ich mal anfangen .... |
23.07.2007, 10:04 | #15 |
/// Helfer-Team | a.bat Trojaner Ist es nicht wichtig, eine Malware zu identifizieren, bevor man sie bekämpft? AntiVir ist ein guter Scanner, findet aber auch nicht alles.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
Themen zu a.bat Trojaner |
adobe, antivir, avira, bho, bonjour, computer, desktop, einstellungen, excel, explorer, f-secure, firefox, helfen, hijack, hijackthis, internet, internet explorer, löschen, mozilla, mozilla firefox, pdf, programme, quara, rojaner gefunden, scan, software, trojane, trojaner, unknown file in winsock lsp, warnung, windows, windows xp |