| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "scsiusr4" und "Win32/Diamin Trojaner"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.08.2007, 10:52
| #1 |
| |  "scsiusr4" und "Win32/Diamin Trojaner" Hallo, wir ärgern uns seit einigen Tagen mit unserem PC rum, der wie es aussieht, mit einer Reihe Trojaner u.Ä. befallen zu sein scheint. Es würde uns sehr helfen, wenn uns jemand (verständliche  ) Tipps geben könnte, die konkret auf unsere Situation anwendbar sind. Wir haben schon sehr viel Zeit mit Googeln und dem Ausprobieren von Tipps für vermeintlich(?) ähnliche Probleme verbracht, aber nichts hat bislang geholfen... Ein besonderes Verhalten des PCs konnten wir bislang nur einmal feststellen, als nämlich nach dem Hochfahren "wuauclt.exe" aus dem System 32 auf irgendeine Website zugreifen wollte (es war etwas der Art "blablaID.com"). Zusammenfassung des Gefundenen: 1. fand HijackThis bei einem Routinecheck "scsiusr4" und bewertete es als böse. Googeln ergab, dass es sich um einen Haxdoor handelt, den man mit Haxfix entfernen könnte. Haxfix fand aber nichts und konnte somit auch nichts entfernen... 2. Haben wir alle möglichen und unmöglichen Virenscanner verwendet, die in Sicherheitsforen genannt wurden. Zunächst haben wir damit ganz normal gescannt, später dann im abgesicherten Modus (nachdem wir gelesen hatten, dass man das so machen sollte). Die Ergebnisse waren immer unterschiedlich: - ActiveScan fand Folgendes: Virus:trj/haxdoor.hy Desinfiziert Betriebssytem Spyware:Cookie/Ccbill Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@ccbill[1].txt Spyware:Cookie/fe.lea.lycos Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@fe.lea.lycos[1].txt Spyware:Cookie/Toplist Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@toplist[1].txt Spyware:Cookie/Xiti Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@xiti[1].txt Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nuci132b.default\Cache\633285D9d01[SmitfraudFix/Process.exe] Potenziell unerwünschtes Tool:Application/SuperFast Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nuci132b.default\Cache\633285D9d01[SmitfraudFix/restart.exe] Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Programme\HaxFix\Process.exe Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-1801674531-682003330-1003\Dc13.zip[SmitfraudFix/Process.exe] Potenziell unerwünschtes Tool:Application/SuperFast Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-1801674531-682003330-1003\Dc13.zip[SmitfraudFix/restart.exe] Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\WINDOWS\system32\process.exe - NOD32 fand: eine Variante von Win32/Diamin Trojaner (kein Logfile mehr vorhanden) - cureit/DrWeb fand: RegUBP2b-Max.reg C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots Trojan.StartPage.1505 Gelöscht. A0036441.exe C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Tool.Prockill Gelöscht. A0036442.exe C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Tool.Prockill Gelöscht. A0036572.reg C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Trojan.StartPage.1505 Gelöscht. - ScanSpyware fand: [Haxdoor.DD] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsiusr4 [Trojan.Media-Codec] HKEY_CURRENT_USER\SOFTWARE\SECURITY TOOLS [WinAntivirus] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - Kaspersky fand: C:\Programme\ESET\cache\FND0.NFI Infected: Trojan.Win32.Diamin.is skipped Jeder Scanner findet etwas anderes, entfernen kann man das Gefundene aber meist nicht. Was können wir jetzt noch machen? Für einen Tipp wären wir wirklich dankbar. Falls ich wichtige Informationen vergessen haben sollte, reiche ich sie natürlich nach. Viele Grüße, Nile |
|
08.08.2007, 11:39
| #2 | |||||
| Gesperrt | "scsiusr4" und "Win32/Diamin Trojaner"Zitat:
Zitat:
Zitat:
 ), tu uns den Gefallen und poste den vollständigen Log Ersetze davor aber Realname/http mit ***/h**pZitat:
Zitat:
 |
|
08.08.2007, 15:52
| #3 | ||||
| | "scsiusr4" und "Win32/Diamin Trojaner" Hallo inFiniTy,
__________________Zitat:
Zitat:
Zitat:
Zitat:
deshalb hatte ich hier kein Logfile gepostet. Allerdings sieht es jetzt wieder anders aus: Logfile of HijackThis v1.99.1 Scan saved at 16:34:42, on 08.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Max\LOKALE~1\Temp\Rar$EX00.297\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.it/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.it/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.1_07) - O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab O16 - DPF: {CAFEEFAC-0014-0001-0007-ABCDEFFEDCBA} (Java Plug-in 1.4.1_07) - O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: scsiusr4 - C:\WINDOWS\ O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe Blacklight findet hingegen nichts und ein Logfile gibt es auch nicht. nile |
|
| Themen zu "scsiusr4" und "Win32/Diamin Trojaner" |
| 1.exe, abgesicherten modus, antivirus, einstellungen, entfernen, firefox, folge, handel, helfen, hijack, hijackthis, infected, kaspersky, logfile, microsoft, mozilla, probleme, programme, scan, security, software, system, system 32, system volume information, system32, trojaner, unterschiedlich, windows, winlogon, wuauclt.exe |
Linear-Darstellung
