|
Plagegeister aller Art und deren Bekämpfung: Trojan.Win32 ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.07.2007, 18:04 | #1 |
Gesperrt | Trojan.Win32 ? ein freundliches hallo. ich habe eine frage und zwar hat a-squared Free den Trojan.Win32.Patched.ad gefunden. bei google fange ich nix.und jotti.org hat auch nix gefunden also fehl alarm? oder gibts den wirklich? der pfand bei den virus handelt sich um C:/WINDOWS\Servicepackfiles\i386\tcpip.sys / Trojan.Win32.Patched.ad und C:\WINDOWS\$NtUninstallkb913446$\tcpip.sys / Trojan.Win32.Patched.ad was soll ich jetzt tun ? habe sie in der Quarantäne |
30.07.2007, 19:09 | #2 |
Gast | Trojan.Win32 ? Hallo
__________________Ich würde dir empfehlen, erst einmal ein HJT - Logfile zu erstellen und hierhin zu posten [ Anleitung siehe Signatur ] |
30.07.2007, 19:16 | #3 |
Gesperrt | Trojan.Win32 ? ok ich hoffe es ist richtig.
__________________Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:13:39, on 30.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Raxco\PerfectDisk\PDSched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe H:\****\ Ordner\abc.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe -- bin jetzt mehrmals durchgegangen ich hoffe ich habe nix falsches gemacht. danke für deine antwort und hilfe ;- ) End of file - 2805 bytes |
30.07.2007, 19:22 | #4 |
Gast | Trojan.Win32 ? Hm.... Willst du mal einen E - Scan machen? E - Scan - Anleitung Evtl. kann es sein das du einen Trojaner auf deinem System hast, ob es nun dieser von dir genannte ist, weiß ich nicht aber wenn du die Anleitung wie in dem Link angegeben befolgst und eben auch wie angegeben das Ergebniss des Reports postest, dann kann ich dir das alles genau sagen LG, Terayaki |
30.07.2007, 19:26 | #5 |
Gesperrt | Trojan.Win32 ? habe ich mal gemacht der hat angeblich moveex.exe gefunden und den myweb so. so langsam wird mein windows immer weniger bei manchen seiten wird das service pack 2 gar nicht angezeigt. kann man das einfach drüber insterlieren? das service pack 2? oder geht das schief? ich mache nacher gegen abend nochmal ein escan und poste den hier das ergibniss ok? ich hoffe du bist noch online |
30.07.2007, 19:31 | #6 |
Gast | Trojan.Win32 ? Wie meinst du, dass bei manchen Seiten das SP2 nicht mehr angezeigt wird? Nun, ob ich da noch online bin, weiß ich nicht aber hier sind noch genug andere, die, wenn du den Report gepostet hast, dir helfen können LG |
30.07.2007, 19:36 | #7 |
Gesperrt | Trojan.Win32 ? sory ich und meine rätsels. also bei manchen seiten wie microsoft zeigt er nicht an das ich service pack 2 habe. naja ich habe rausgefunden das ich ein remote loch habe toll das kamm von trend micro der hat einfach eine service pack 2 datei gelöscht und es stellte sich raus es war ein fehl alarm war und das ohne backup super und darum frage ich ob ich das service pack 2 einfach drüber insterlieren kann. den ich hatte schon seit jahren keine viren. das wärste das erstemal. so nacher ein escan das bin ich wohl schuldig. |
30.07.2007, 21:15 | #8 |
Gesperrt | Trojan.Win32 ? So hier ist der E-scan log find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.3.5 Sprache: German H:\*****\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27034-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702e-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27031-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27033-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702d-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (%systemdir%\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with holistyc Dialer (%windir%\icons)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (%systemdir%\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\WINDOWS\icons Offending file found: C:\WINDOWS\system32\gdiplus.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 43638 Gefundene Viren: 10 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 86 Dauer des Scans bisher: 00:30:31 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Ich hoffe es ist so richtig. vielen dank der mir hier hilft. |
31.07.2007, 10:03 | #9 | ||
Gast | Trojan.Win32 ? Hallo nochmal, So also du hast da ein wenig Adware und ggf. Malware drauf. Nun, lasse doch bitte mal die Drei Dateien bei Virustotal auswerten und poste das gesammte Ergebniss: Zitat:
Dann kannst du einmal versuchen die Datei: Zitat:
Und letztendlich dann noch mit diesem tool hier; Blacklight einen Scan durchführen und evtl. Funde löschen. Wie gesagt die obig genannten Dateien bei Virustotal auswerten lassen und das gesammte Ergebniss aller Drei hierher posten. LG |
31.07.2007, 14:12 | #10 |
/// TB-Ausbilder | Trojan.Win32 ? Hi, die tcpip.sys ist ein Windowsprozess. Zu sehen zb hier: Windows XP file forum Die Orte an denen sie bei dir gefundenen werden, ist 1) der Ordner in dem Windows Sicherungen seiner Updates einspielt und 2) Ordner in dem Deinstallationsinformationenen aufbewahrt. Die tcpip.sys hat nach dem SP2 zu Problemen geführt und wurde in einem der nachfolgenden Patches erneuert. Deswegen gibt es die beiden Einträge. Ich würde dich allerdings bitten, die Datei gdiplus.dll nicht einfach zu löschen, sondern auch erstmal bei virustotal auswerten zu lassen. Es handelt sich wahrscheinlich um einen Fehlalarm, die Datei dürfte zu Framwork.net gehören. lg myrtille |
31.07.2007, 14:33 | #11 |
Gesperrt | Trojan.Win32 ? erstmal wieder hallo. Hier mein Bericht: ich habe im abgesicherten modus gescannt und eine nullbyte spywer gefunden all die wie zum beispiel mybugfreepc habe ich in der regestrierungts daten bank entfernt (mit backup ) . die dateien C:\WINDOWS\system32\Swsc.exe C:\WINDOWS\system32\Swreg.exe C:\WINDOWS\system32\Unrar.dll Habe ich Auswerten Lassen Bei virusscan.jotti. er hat gesagt eventuell malwer weil das angebliche Programm Gepackt ist. Seien sie Vorsichtig!!! Ich habe diesse Dateien in eine Natürlich in einer Quarantäne. bevor ich diesse lösche den mein service pack 2 ist ja auch schon zerschossen. wegen trendmicro. also ich habe ein erneueren scan gemacht und auser diessen Nullbyte spywe findet er nix. was mir auch wundert auf einmal findet a-squared Free Diesen trojaner obwohl in den letzen tagen das nicht getan hat. und ich mache so gut immer ein regelmässigen scan und da fand er nix. nur seit den update ich schätze es ist ein fehl alarm. und mein windows wird immer weniger.... also soll ich die datei zurück legen? windows hat noch nicht gemeckert deswegen? und wie kriege ich die Nullbyt spywer weg? danke |
31.07.2007, 14:37 | #12 |
Gast | Trojan.Win32 ? Ja klar, gdiplus löschen, neiin Mein Fehler sry. ich habe etwas verwechselt. Sowas Nun aber sonst stimmts soweit |
31.07.2007, 14:41 | #13 |
Gesperrt | Trojan.Win32 ? also die kannsen lasse ich jetzt löschen ?!? und was ist mit der Nulbyte spywer? und service pack 2 nochmal neu und drüber insterlieren? |
31.07.2007, 14:54 | #14 |
/// TB-Ausbilder | Trojan.Win32 ? Die Dateien brauchst du nicht löschen, das sind "normale" Dateien, gehören wie gesagt unter Anderem zu Smitfraudfix. Wie sollen wir dir denn bei deiner nullbytesache helfen, wenn wir noch nicht mal mehr wissen, wo die gefunden worden ist? Wieso hat Trendmicro dir SP2 zerschoßen? Wie hat es das getan? Aber wenn du den Rechner Neuaufsetzen willst, dann kannst du auch gerne Systemdateien löschen, bis der Rechner nur noch abstürzt... |
31.07.2007, 15:02 | #15 |
Gesperrt | Trojan.Win32 ? Moment !! Wir Müssen wohl erstmal sammeln ^.^ Also ich hatte mal früher mal trend micro aus probiert , der hat angeblich ein trojaner in der services pack files gefunden , das war aber ein fehl alarm wie sich das im forum raus stellte troztem war die datei weg den sie wurde als extrem gefährlich be-urteilt. super die datei ist weg naja. und darum würde es mir intresieren ob man das service pack 2 einfach drüber insterlieren kann den ich habe ein remote loch deswegen. und die reparatur gibts nicht. bei deiner nullbytesache helfen, wenn wir noch nicht mal mehr wissen,/ ja sory ich habe selbts den pfand nicht gefunden. ich behalte den die dateien erstmal da wo die sind im moment ist ja die lage ruhig |
Themen zu Trojan.Win32 ? |
alarm, frage, free, freundliches, gefunde, google, handel, quara, quarantäne, troja, trojan.win32, virus, wirklich |